PplWare Mobile

Afinal é simples roubar a palavra-passe de um Apple ID no iOS

                                    
                                

Este artigo tem mais de um ano


Autor: Pedro Simões


  1. QuimRoscas says:

    Demoraram 5 anos para desenvolver o Iphone X que ainda não saiu a publico porque tem problemas!

    E os bugs de segurança continuam…

    • Goncalo says:

      Normal, a Apple sempre foi mais segura que os outros, porque não tinha projecção no mercado que justificasse os Hackers perderem tempo com ela, e no iPhone a história é outra, como os equipamentos da marca são usados como um ornamento para definir uma (na sua maioria falsa) imagem e estatuto, são usados por fanáticos (fanatismo é doença, pesquisem no google), e/ou pessoas sem o mínimo entendimento sobre o assunto, e muito poucos são os que sabem exactamente o porquê de os adquirirem, ormalmente é porque os outros também têm, ou porque é mais caro que o dos outros, ou porque o sentimento de inferioridade é enorme e isso é uma doença que funciona como uma terapia para ultrapassar esse vazio e solidão.

      • Vítor M. says:

        Não é bem assim, Aqueles problemas de phishing, de scam e outros malwares que são mais corriqueiros, facilmente encontras nos Android, ou porque t~em facilidade de martelar o APK, ou porque a pub leva a instalação de software contaminado, tens mais desse lixo dentro do Android. No iOS isso não é assim possível e muito raramente alguém tem problemas com vírus ou malware. Quando vais à net 90% dessa malta contaminada é com JB e instalação em repositórios manhosos, até porque dentro do controlo da Apple as apps têm de obedecer a um rigoroso teste de controlo.

        Um dia quando tiveres oportunidade de usar (não é mexer no hipermercado) verás que é o real e não o imaginário que tens deste mundo. Faz parte de como o sistema é gerido, de como as apps são instaladas e de como as pessoas usam os smartphones. Até lá, deixa o teu fanatismo, o ódio amor à Apple e fala só do que sabes 😉

      • Jorge says:

        Até parece mentira que ainda se escrevam coisas assim.

    • Francisco Pinto says:

      É o que vale só ler títulos!

      Não foi o iPhone X que demorou 5 anos a ser devolvido! Foi o Face Id!

      E o iPhone X não tem problemas o que estão é com dificuldades em produzir alguns componentes do Face id nas quantidades necessárias!
      O IOS tem bugs e alguns de segurança como todos! Mas este não é um deles! E um ataque de pishing!

      • Carlos says:

        O Face Id demorou bem mais de 5 anos a ser desenvolvido, porque a tecnologia da PrimeSense já vem pelo o tempo do Kinect da Xbox 360, que tem já 10 anos.

        Se dissesses 15 anos estavas mais perto.

  2. Spoky says:

    Security top noch, segundo os Applenistas

  3. Tiago says:

    Epa, isto é q historia do lobo mau.
    A unica solucao é fazer um telemovel sem ecra!

  4. Joao Reis says:

    Vantagem é que para a semana está corrigido. Não existem sistemas 100% seguro mas não tenham dúvidas por todas as razões e mais algumas, a Apple tem vantagem enorme junto da concorrência.

    Podem lançar updates para TODOS os modelos com menos de 5 anos, num estalar de dedos. No dia seguinte todos têm a correção. Não existe outro sistema para smarphones que isto aconteça, simplesmente não existe.

    Melhor telefone era um Samsung com iOS na minha opinião, com hw a combinar com o sw como faz a Apple.

    Enquanto as marcas não entenderem que o que vende na Apple é o iOS e a linguagem de programação perto do processador, nunca vai haver alternativa. Digo isto porque preferia pagar menos mas não abdico da solidez e segurança imediata que os telefones Apple nos dão.

    • Luis Lopes says:

      Talvez agora depois de conhecido seja corrigido.
      O fappening pode ter vindo a partir disto. Pode ser já um bug com algum tempo.
      Estranho estes pedido serem feitos assim..
      No Android é pedido a quando do primeiro lógin e só aparece depois para usar o cc em compras. Nc me surgiu mais vezes nenhumas sem ter motivo que o justifique.

      • Jorge Carvalho says:

        Isto não estava a ser explorado em lado nenhum. Foi apenas o Felix que resolveu experimentar a ver se conseguia replicar a caixa de autenticação.(è nativa do sistema)

        Abc

        • Luis Lopes says:

          Como se pode dizer que não foi explorado?
          Pelo que li veio agora a publico e é bastante simples por isso não foi publicado como se faz.
          Phishing é o q para ai não falta e por vezes la se cai.
          É normal dps do primeiro login voltar a aparecer para se fazer o login tal como se diz no artigo? Isto é que eu estranho

          • Jorge Carvalho says:

            Não é normal , mas por vezes a seguir a updates isso acontece.
            De salientar no entanto que nunca se deve colocar a password nessas “caixas” mas sim no control center. Até hoje nunca foi reportado qualquer coisa de exploit atraves deste tipo de phising.
            Já esta um Rdar aberto para que a Apple possa alterar o modelo de funcionamento ou atraves de outra soluçao qq.

            Aproveito para incluir o que o Pedro Simões nao escreveu.
            Nunca coloquem a password numa dialog box de uma app que nao tenham a certeza porque mesmo que façam cancel no fim a APP recebe os dados.

            Abc

      • Sujeito says:

        O fappening foram passes fraquissimas que foram descortinadas com obtenção de dados de outras contas dos mesmos utilizadores. Que eram as mesmas ou similares.

    • Mario says:

      ” linguagem de programação perto do processador”
      Obrigado por teres tornado o meu dia mais alegre lol

    • Cada um.. says:

      Sim.. daqui a uma semana ou daqui a uns anos… nao era a primeira vez que so anos depois eram corrigidos… isto sem contar com os ainda esperam para ser corrigidos ja passados anos…

      Nenhum SO e seguro e comparar um SO fechado com um SO aberto em que qualquer um vai examinar o codigo a procura de erros ja nao e logico, muito menos preocupar com a porta da visinha quando a nossa nem fecha…

    • Carlos says:

      Opá, o que vende na Apple é a Apple.
      Tudo o que a marca Apple vende, basta ver que a inutilidade do Apple Watch é o smartwatch que mais vende apesar de ser tão ou mais inútil que todos os outros.
      E é por isso que se falava na televisão da Apple, porque toda a gente sabia que ia vender como o caraças, não por ser melhor que as outras (o ecrã teria de ser igual ao da LG ou da Samsung) mas por ter a maça.

      • Luis Portas says:

        Na verdade se tivesse saído uma tv claramente seria algo bom.
        Ainda hoje tristemente tens poucos pcs/portáteis com a qualidade de ecrã que a apple tem. Ora vai ver as análises à concorrência, pelo mesmo preço e oferecem pior!

  5. ZeTolas says:

    A sério??? Mas porquê tanto ódio por uma empresa e tanto amor por outras…. tomem juízo e Get a life…

    PS – já fui utilizador de iPhone, já tive Windows Phone e neste momento uso Android e continuo sem perceber estes comentários tão vazios…

  6. pedro says:

    eu acho que ha um ponto que aqui nao esta referido mas que noutro sitio (vi esta noticia ontem)….

    A apple tem por norma verificar TODAS as apps na sua appstore, logo este código muito provavelmente iria chumbar na aprovação…. o que quer dizer que ele conseguiu isto por jailbrake.. o root para os androids

    • Esse pormenor, que na verdade não tem nada de menor, está no artigo desde que ele foi escrito:

      “Na verdade, esta forma de usar as notificações do iOS para atacar os utilizadores não é nova e já se conhece há alguns anos, tendo a Apple uma validação muito ativa nas novas aplicações submetidas na App Store. “

    • Cortano says:

      Isso traz-me à memória uma situação em que alguns developers para testarem essa tal tão apregoada verificação da Apple das apps que entram, criaram umas quantas apps que não faziam absolutamente nada e outras apps que eram se faziam passar por apps de lojas verdadeiras (e recolhiam dados do user), e passaram na verificação…

  7. bola says:

    Isto é fácil de fazer em todos os sistemas, basta fazer ecrãs idênticos aos da Google no Android, da Apple no IOS (como este) de Autenticação Microsoft no Windows, de consola de Linux a pedir permissões de SuperUser, etc…

    O utilizador tem que ter cuidado apra saber qual foi a acção que despoletou o pedido de autorização, todos podem cair, não vale a pena culpar só a Apple, este esquema de phishing aplica-se a todos os OS’s mais nada.

  8. Sxac says:

    Portanto, segundo este artigo, iPhones sujeitos a phishing…, OK
    Porreiro era falarem de um dispositivo que fosse , mesmo, 100% imune a esse tipo de ataques…, como esse dispositivo não existe, podem fazer copy-paste e mudarem só o titulo, escrevendo, Android, Windows, OX, Linux… Cumps.

    • Joao ptt says:

      100% imune a phishing? Supostamente: FIDO U2F
      Pelo que li, é 100% impossível, devido à forma como o desenvolveram, com esse problema específico em mente.

  9. Bejense says:

    Portanto alguém faz uma app (q o utilizador instala) q lança uma caixa de dialogo a pedir a pass do appleid, certo?

    Convinha era agora saber como é q essa app foi aprovada pela apple ou se estamos a falar em app “pirata” a correr em cima dum SO com JB. Mais convinha saber de que app se trata e acusar judicialmente seus autores – a menos q seja pirata, claro.

  10. Et says:

    É apenas uma possibilidade detetada, mas as apps com essas chamadas conseguem entrar na Appstore ?

    A verificação das aplicações é supostamente uma 1ª barreira para entrada de bicho na maçã, faz parte do serviço Apple fornecido com o télélé assim como o iCloud, family, e outros.

    Já se o iPhone foi jailbroken e instalada uma app de outra loja, não verificada, aí meus amigos não há nada a fazer, é o próprio utilizador a dar um tiro no pé, mas quem faz jailbrake normalmente está atento porque sabe que instala aplicações de uma loja que não faz essa verificação.

    De qualquer forma os update iOS são rápidos e já tenho instalada a beta 2 do 11.1 (inscrevi-me no programa de testes e instalei o iOS11 em princípios de agosto e tenho recebido todas as atualizações beta).

    Esta “falha” certamente vi ser rapidamente corrigida ou “filtrada” na AppStore.

  11. Daniel says:

    Esqueceram-se de um pormenor importante. Não há nenhuma aplicação na App Store com este esquema de phishing. Revisão de código, meus amigos.

  12. Mario Carvalho says:

    Não é assim tão simples. Apesar de ser bastante fácil replicar esse popup, não há maneira de obter o AppleID programaticamente. Apenas se por acaso, o utilizador registou-se na app com o mesmo mail, e o criador da app tenta “atirar o barro à parede”

  13. PMCM73 says:

    Vocês sonham mas na vida real não é bem assim. Porque não espremera garava, e m direto e mostra para o povo.

  14. IOS advisor says:

    Claro que se a pessoa estiver a utilizar o two factor authentication saber a password é completamente irrelevante.

  15. polo says:

    Não deve faltar muito tempo até começarem a fazer o mesmo nos browsers

  16. Joao ptt says:

    Basta a Apple adicionar uma imagem que seja necessariamente diferente para cada utilizador (personalizável pelo mesmo), ao qual nenhuma aplicação possa ter acesso, e não permitir acesso ao que se passa no ecrã durante o pedido do código e a pessoa percebe logo que não é a caixa verdadeira.
    O truque do botão home… qual botão home na futura versão 10 do iPhone?

Deixe um comentário

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.