Um dos traços marcantes do iOS são as mensagens pop-ups, que aparecem regularmente requisitando o Apple ID do usuário. Geralmente, essas janelas aparecem antes da instalação de um novo programa ou na conclusão de determinadas tarefas. Com isso, preencher as informações e clicar o mais rápido possível já ficou quase automático.
As janelas são tão comuns que ninguém para muito pra pensar antes de preenchê-las. Mas é aí que mora o perigo:
Felix Krause, um desenvolvedor de aplicativos mobile, mostrou, no último dia 10 de outubro, que as inofensivas janelas representam um canal potencial para softwares maliciosos roubarem as credenciais dos usuários. Em um breve artigo postado em seu blog (veja o original – em inglês), Felix comparou os pop-ups do iOS com janelas desenvolvidas por ele mesmo, ambas com a mesma aparência.
As pop-ups de teste, criadas com algo em torno de 30 linhas de código, além de indistinguíveis das reais, poderiam ser colocadas em qualquer app disponível na App Store, e então serem usadas para roubar informações.
Entendendo o problema
As pop-ups são um aspecto comum da experiência de usuário com o iOS. Elas se apresentam em diversas situações possíveis. O principal problema, e que é bem simples, é que a maioria das janelas oficiais da Apple são indistinguíveis de outras geradas por aplicativos diferentes. Ou seja, via de regra, os usuários apenas confiam que a janela na qual estão digitando sua senha é realmente do iOS.
Podemos ainda estender essa ideia para qualquer janela pop-up. Em geral, quando um aplicativo pede alguma informação, o mais comum é que o usuário forneça as informações sem parar pra pensar se aquele prompt é confiável ou não. Isto é uma questão de segurança e da cultura digital de forma mais ampla.
A facilidade com que os usuários digitam credenciais sem saber para onde elas vão já é explorada por hackers, e com intenções nada agradáveis.
Como ter certeza que a popup é realmente do iOS?
Em sua postagem, Krause fez algumas sugestões de como os usuários podem se proteger e ter certeza que suas credenciais não caiam nas mãos erradas. Confira!
- Quando a popup aparecer, aperte o botão de home. Se o prompt pedindo senha simplesmente fechar, provavelmente se tratava de uma tentativa de roubar informações. Se a caixa de diálogo continuar visível, quer dizer que a mesma foi gerada pelo iOS;
- Regra geral: Jamais entre com suas credenciais em um uma janela pop-up. Ao contrário, sempre feche a janela e abra as configurações do aplicativo manualmente. É o mesmo conceito que se aplica a links recebidos em emails. Ao invés de clicar nos links, a regra é abrir o endereço indicado manualmente;
- Se você clicar no botão de cancelar do prompt que solicita sua senha e, após ele fechar, você mesmo assim ter acesso ao conteúdo que queria, certamente o prompt era malicioso;
Outro ponto muito importante é considerar a autenticação em dois níveis da Apple. Essa verificação requer que, além da senha, seja informado um número de autenticação complementar, semelhante ao que serviços de email, como o Gmail, fazem. Apesar de não resolver o problema das pop-ups verdadeiras e falsas não serem distinguíveis, a autenticação em dois níveis vale a pena (tanto para emails como para seu Apple ID) como medida de segurança geral.
Conclusão
No mais, lembre-se do mais importante: Desconfie. Se alguém bem aparentado, com uniforme do Google ou outra empresa qualquer, chega pra você aleatoriamente na rua e pede sua senha e login de email, você informaria? É uma situação meio absurda, mas é o que acontece no meio virtual. Uma janela bonitinha, com interface visual associada a algum aplicativo ou sistema, simplesmente pula na tela e te pede sua senha como se fosse a coisa mais natural do mundo. Não entregue o ouro!
Siga as recomendações acima e desconfie dos aplicativos e popups que te pedem informações.