Esta semana tem sido muito complicada para os lados de Cupertino. Depois de começar muito bem com a apresentação dos valores de vendas do novo iPhone 6, depressa começaram os problemas nos novos iPhones que dobravam com demasiada facilidade e continuou com a confusão que o iOS 8.0.1 gerou.
Mas ainda não terminámos a semana e mais um problema surge, desta vez no iOS 8 e nas versões anteriores. O problema, que é de segurança, está associado às funções de browser que qualquer aplicação pode usar e aos dados que estas têm acesso.
O problema de segurança que agora surgiu associado ao iOS leva a que qualquer aplicação que use a função de incorporação do browser possa recolher todos os dados que o utilizador preencher os formulários apresentados.
Esta funcionalidades não desejada foi descoberta por Craig Hockenberry, um programador que se dedica a criar aplicações para o sistema operativo móvel da Apple.
A falha leva a que qualquer aplicação, mesmo as que não indiquem a utilização da função de browser ao utilizador, possam recolher todos os dados que estes coloquem nos formulários que surjam nas páginas web que sejam apresentadas.
Ao fazer essa recolha qualquer aplicação pode depois enviar os dados para qualquer ponto externo para serem explorados.
Na prática, e para demonstrar a forma de explorar esta falha, qualquer janela ou pop-up que surja para autenticação pode ver registados os dados escritos pelo utilizador.
Para demonstrar esta falha Craig Hockenberry criou uma aplicação que consegue provar de forma clara o problema. Os dados do utilizador ao serem introduzidos no formulário da página são depois apresentados na própria aplicação.
Existem algumas considerações que devem ser tomadas em consideração sobre o que é apresentado no vídeo e que revelam a forma esta falha pode ser explorada
The information at the top of the screen is generated by the app, not the web page. This information could easily be uploaded to remote server.
This is not phishing: the site shown is the actual Twitter website. This technique can be applied to any site that has a input form. All the attacker needs to know can easily be obtained by viewing the public facing HTML on the site.
The app is stealing your username and password by watching what you type on the site. There’s nothing the site owner can do about this, since the web view has control over JavaScript that runs in the browser.
Esta é uma falha segurança muito grave e que a Apple deve resolver o mais depressa possível. Com uma muito simples aplicação os dados mais sensíveis do utilizador podem ficar expostos e acessíveis a qualquer um.
Basta apresentar um simples login do Google ou Facebook, que podem até ser reais e verdadeiros, e depressa se recolhem dos dados do utilizador de acesso a esses serviços.
Lembrem-se que até um simples browser como o chrome da Google faz uso desta funcionalidade e por isso pode aceder também a esses dados e registá-los.
Esta não é a melhor forma de terminar a semana, mas a Apple tem muito trabalho à sua frente para resolver todos estes problemas do iOS 8 e este é apenas mais um que será tratado muito em breve.
O único conselho de segurança que pode para já ser dado aos utilizadores é que evitem a todo o custo colocar dados de acesso a serviços web em aplicações que não seja o browser da Apple para iOS.