Attacchi phishing su Apple iOS: quanto sono facili da lanciare

Uno sviluppatore autonomo ha dimostrato quanto, ancora oggi, sia molto semplice realizzare un attacco phishing per indurre gli utenti di dispositivi iOS a fornire le credenziali d’accesso dei loro account.

iOS richiede periodicamente l’inserimento della password per l’accesso ad iTunes: la finestra di dialogo per l’introduzione delle credenziali può comparire nella finestra di sblocco, sulla schermata Home ma anche in altre applicazioni quando v’è la necessità di autenticarsi su iCloud o attivare acquisti in-app.

Secondo l’autore della ricerca, Felix Krause, gli utenti di iOS sono talmente abituati a inserire le loro credenziali che possono facilmente cadere in errore quando si trovassero davanti a un attacco phishing ben realizzato.

Krause ha pubblicato su GitHub il codice che permette di mostrare una richiesta di login assolutamente identica a quella di sistema. Il codice proof-of-concept manca volutamente delle accortezze grafiche per congegnare il pop-up malevolo: si tratta di una precisa scelta per evitare l’utilizzo immediato del codice da parte di malintenzionati.

Come distinguere le richieste di autenticazione presentate realmente da iOS da quelle fasulle (attacchi phishing)?

Premere, innanzi tutto, il pulsante Home.
– Se l’applicazione si chiude e, con essa, la finestra di dialogo per l’inserimento della password, significa che si era di fronte a un attacco phishing.
– Se la finestra di dialogo per l’inserimento della password rimane visibile significa che la richiesta è legittima. Il sistema mostra le richieste di autenticazione utilizzando un processo separato, svincolato da qualunque app.

Krause ha chiesto ad Apple di risolvere il problema alla radice intervenendo sulle modalità e sulla frequenza con cui viene chiesto agli utenti di iOS di confermare la password dell’account.