apple-id-sicurezza

Apple ha l’abitudine di richiedere la password dell’ID utente in alcuni casi, attraverso un pop-up che appare senza alcun avviso in mezzo allo schermo di iPhone o iPad. E questa stessa prassi potrebbe essere sfruttata dagli hacker per rubare i nostri dati.

Un ricercatore e sviluppatore di sicurezza, Felix Krause, fondatore di Fastlane, sostiene che fare “una copia” di queste finestre sarebbe incredibilmente semplice. Se un hacker o cybercriminale volesse, potrebbe rubare i dati di qualsiasi utente iOS nel modo più semplice e veloce possibile: chiedendolo.

Questo perché Apple ci ha già abituati a richiedere la nostra password (Apple ID o sblocco) in molte occasioni, soprattutto quando si installa un aggiornamento del sistema operativo. Se un hacker ha creato la propria versione di un pop-up per richiedere la password di Apple ID, è abbastanza probabile che l’utente risponda, pensando che sia una richiesta del dispositivo. Krause ha spiegato che, far ciò “è facile come scrivere meno di 30 righe di codice”.
Sulla sinistra, un vero e proprio pop-up di iOS. A destra, un falso pop-up all’interno di un’applicazione. (Immagine: Felix Krause)

Fortunatamente, non c’è ancora alcuna prova che un hacker o un cybercriminale abbia usato questo metodo per tentare un furto di identità. Il problema è che è molto difficile identificare quando si viene truffati. A tal fine, Krause raccomanda di seguire le seguenti raccomandazioni:

  • Apple non richiede solitamente la password di Apple ID all’interno di qualsiasi applicazione. Il più delle volte è richiesto per lo sblocco del device. Ma se accade, si può premere il pulsante di avvio. Se la finestra scompare, era falsa. Se riappare sulla schermata iniziale, è ufficiale.
  • In ogni caso, non consiglia di inserire la password di Apple ID in questa finestra, ma cercare di accedere all’applicazione iOS Settings e di eseguirla direttamente nella sezione iCloud e iTunes.

Il sistema di protezione anti-malware dell’App Store è abbastanza buono nel rilevare attacchi dannosi, ma un hacker potrebbe aspettare che l’applicazione venga approvata e, quindi, aggiungere la finestra popup. Per risolvere questo problema, Krause suggerisce ad Apple di iniziare a chiedere all’utente di inserire la sua password di Apple ID direttamente nell’applicazione di configurazione, non attraverso un pop-up .