Notícias

Preste sempre atenção na hora de digitar sua senha. Qualquer uma.

Esta semana, um pesquisador da República Tcheca, chamado Jan Soucek, divulgou uma maneira de roubar senhas do iCloud de usuários distraídos. Alguns sites alegaram ser uma falha de segurança do iOS, pelo fato do aplicativo nativo Mail não possuir nenhum filtro para tags HTML específicas.

O Blog do iPhone testou o truque e conseguiu entender como ele funciona.

Os usuários mais atentos conseguirão perceber facilmente o golpe. Infelizmente, sabemos que é muito grande o número de usuários distraídos que podem ser enganados, fornecendo seus dados pessoais.

O truque consiste em enviar um email para a vítima, com um código HTML que simula visualmente uma janelinha do sistema, que pede a senha do iCloud. Ao abrir o email, a janela (estilo modal) aparece, como na imagem abaixo.

Golpe iCloud

Ela é muito parecida com a original, a não ser por não acompanhar o mesmo idioma do sistema (na imagem você pode ver a janela em inglês no sistema em português). Além disso, se você fizer um scroll na página, a janela vai junto, e isso acontece também quando o teclado aparece ao tentar digitar a senha.

Repare abaixo a diferença visual entre um aviso verdadeiro e um falso.

golpeicloud3

O objetivo do golpe é fazer com que o usuário introduza a senha real do iCloud, que é enviada para um servidor e poderá ser reutilizada pelo golpista.

Ao tentar tocar no botão Cancel, nada acontece, o que também não é normal. A janela está claramente dentro do email, e se você sair dele, a imagem desaparece. Avisos reais do sistema só desaparecem quando você responde a ele. Ou seja, na nossa opinião, não é difícil perceber o embuste.

Usuários mais atentos evitam digitar sua senha sem que haja uma razão para isso. Se você não estiver baixando um aplicativo ou fazendo alguma coisa específica que exija sua senha, procure cancelar este tipo de pedido até entender qual o objetivo.

A princípio, achávamos que a denominação “falha de segurança” era exagerada, mas fizemos testes em outros aplicativos de email (como o Spark ou o Inbox) e a mensagem comprometida não mostrou nenhuma janela, confirmando que o problema pode ser mesmo no aplicativo nativo, que é o mais usado pelos usuários (visto que a Apple não permite configurar outros apps como padrão do sistema). No Mail do OS X o problema também se repete.

O pesquisador tcheco já pediu em janeiro para que a Apple consertasse a falha, mas até hoje ela continua existindo. Por esta razão, ele resolveu divulgá-la ao mundo, na tentativa da empresa tomar alguma providência.

Para quem tem a verificação em dois passos ativada em sua conta, não há como invadir o iCloud apenas com a senha. Por isso, aconselhamos a todos utilizarem este recurso de segurança oferecido pela Apple. E enquanto a brecha não for consertada, preste sempre atenção toda vez que digitar sua senha, para ter certeza que você saiba exatamente a razão do sistema a estar pedindo.

Tags
Mostrar mais

iLex

Robô virtual que tem como missão organizar o site e ajudar leitores. De tempos em tempos ele desvirtua e tenta fazer outras coisas, mas nada que um hard reset não resolva.

Artigos Relacionados

  • Sergio Luith

    falha bizarra, uma vulnerabilidade como esta ,e inadmissível

    • por que? isso acontece, é HTML! permitido em grande parte dos apps de mail. Se ele cria um arquivo de **localização** ele ainda poderia identificar o idioma do agente web e escrever essa caixa em outros idiomas para deixar o truque mais real, mas…

      Infelizmente, de gente ruim o mundo está lotado! temos que tomar cuidado todos os instantes, na rua, na web, no app do e-mail, no trânsito, etc. É complicado amigo!

    • Destróier

      Isto não é nem de longe uma falha de segurança. Se informe antes de falar o que não sabe. Espere sentado, pois a Apple não vai se pronunciar sobre isso, simplismente pq não existe qualquer problema.

      • Sergio Luith

        Você que me parece estar desenformado.Todo mundo sabe que o mail e o Safari da Apple são muito vulneráveis já tive problemas com eles e posso dizer seguramente .Volta e meia são noticiadas falhas (algumas delas antigas) que a Apple demora bastante tempo em saná-las.Ainda assim sou usuário eterno

        • João Vianini

          Me desculpe, mas realmente acho que o “desEnformado” não é ele.

          • KGB07

            Fora da “fÔrma” kkkkkkkkk

  • Jayme Prado

    Não sabia que o teclado escuro era pra senhas, achei que era escolha do dev.

    • Daniel Alencar

      nem eu hahaha mais um detalhe importante

    • Juliano Santos

      Somos dois.

    • Henrique Imperial

      Ia comentar exatamente isso

    • Paulo Getirana Cotta Junior

      E não é mesmo apenas para senhas. Quando realizo uma pesquisa no Spotlight o teclado também é escuro.

    • Destróier

      Sim é escolha do desenvolvedor. Quem falou que era para senha não sabe o que está falando.

    • Destróier

      E não é! Quem falou que era só para senhas não sabe o que está falando!

    • Gustavo Santos

      Leia de novo o artigo ele não estava se referindo do teclado quando falou que ficava escuro e sim do fundo

      • BS

        Do fundo e do teclado! Dá uma olhadinha novamente…

    • velociround

      As senhas no iOS mostram sempre o teclado escuro, MAS a cor do teclado é escolha do desenvolvedor. Não só a cor, mas também o tipo do teclado (numérico, alfanumérico, decimais, senha, etc).

      Então, se não me engano, é possível (e comum) que aplicativos de terceiros (App Store) que digitem a senha usem o teclado branco.

  • Gustavo Henrique

    O meu já apareceu isso

    • Heri Andrade

      acho que o meu tbm hehe

      • KB

        Procedimento básico em caso de dúvida, trocar a senha. Usar de preferência uma passphrase longa… e ativar a autenticação de dois fatores, caso não tenha.

        • Heri Andrade

          fiz isso ontem apos o post, verificação em dois passos e mudei a senha

  • Daniel Alencar

    hahaha os caras inventam de tudo também ne? Eu to sempre atento nessas coisas, ainda não aconteceu comigo isso ai, mas é bem isso que o iLex sugeriu no texto: a janela não vai aparecer “do nada” assim, tem que ter uma razão especifica para ele te solicitar a senha da conta. Eu por exemplo sempre digito qualquer coisa na primeira vez q vou por senha em qualquer site q precisa logar, pra ver se a pagina não esta mascarada. É uma boa dica também. Alem de observar se o cadeado de pagina segura está na pagina. Se a senha estiver errada a pagina verdadeira vai rejeitar o acesso. 🙂
    Ja aconteceu comigo de dar algum bug na App Store e ele pedir a senha do nada mais de uma vez e em outro aplicativo, (a janelinha de senha original mesmo, do próprio sistema) eu sempre cancelo e faço questão de ir la tentar de novo. Mesmo estando dentro do iOS hahaha vai saber se aquela janela não esta modificada por sei lá o que. Eu desconfio de tudo 😛

  • Bruno Mantoan

    Se o Jobs estivesse vivo isso…

    • … isso aconteceria do mesmo jeito…
      Ou os hackers eram fãs dele? Ah vah!

      • tem cada um né! deixa o falecido em paz! #porDios

        • Bruno Mantoan

          E o senso de humor, fica onde? =D

          • JanjaBoy

            Bruno, só o pessoal antigo em Apple é que entende a piada.

          • senso de humor com um falecido?

            • Conde De La Roche, o benfeitor

              E daí? O Chico Anisio faleceu e não se pode mais assistir seus programas?

            • Diógenes Magnus

              Anderson… a forma como vc reagiu a piada, foi de uma forma como se não a intendesse. Na minha opinião vc se expressou mal. ponto pro janja 😛
              mas melhor deixar queto, pra vc não precisar redigir outro texto reexplicando seu ponto de vista

  • Felipe

    Quem tem criatividade pra fazer essas coisas poderia facilmente se encaixar em vagas de emprego que precisam de criatividade (destaque pra publicidade), pena que roubar é mais facil

  • Gustavo Ciríaco Silva

    Utilizo o Outlook, antigo acompli.
    Será que ele também é vulnerável?
    Pra mim é o melhor do gênero.

    • Outlook = microsoft = vulneravel… Só ligar as pontas!

    • KB

      Basta pensar que a Microsoft tem parceria com o governo e todos seus produtos tem backdoor… Aliás, uma das atualizações depois que ela comprou o Skype foi justamente isto, colocar backdoor e quebrar de vez um outrora execelnte software. E se tem backdoor, é vulnerável, sem exceção.

  • Ruan
  • Daniel Brito

    Mas ele nao fica escuro quando vai digitar a senha na game center, porque?

  • Rafael Gaia

    Está acontecendo comigo todo tempo, o que eu faço ?

    • responde!! responde!! se vc quiser que sua conta seja roubada! 😛
      eu troquei recentemente meu iCloud justamente pela quantidade de SPAM que recebia!
      tem que tomar muito cuidado…

      • Rafael Gaia

        então infelizmente não temos nada a fazer ? Lamentável

    • Rafael Leandro

      Tenta usar outro cliente de email, como Mailbox ou Spark

  • Arlindo Neto

    Sei não em, acho q já vi essa tela, não lembro de ter colocado a conta e senha, tava no trabalho e fico muito ocupado posso acabar fazendo merda. Vou ativar logo ativação em 2 passos ai não tem como errar.
    Preocupado com meu cartão de crédito :/

  • Danilo

    O golpe do ano é aquele que os caras pega, seu iPhone roubado,tiram o chip e descobrem seu número.mandam um Sms como sendo do iCloud dizendo que seu iPhone foi encontrado e pedindo pra digitar sua senha para você saber a localização,neste sms tem um link feito pelos ladrões que te leva para uma página igual do iCloud,você digita a sua senha lá e o ladrão desbloqueia o iCloud do seu iPhone e vende como se fosse novo.
    Isto acontece principalmente aqui em São Paulo, fiquem espertos.

    • Felipe

      Mas se o meu chip tá com os ladroes, como eu vou receber o SMS?

      • Danilo

        Você já vai ter habilitado aquele mesmo número em um chip novo para não perder sua linha,assim eles sabem que você irá receber o SMS.

      • Gustavo Rezende

        Entendi que nesse tempo você já cancelou o chip antigo e pegou um novo em outro aparelho, daí recebe normal, só não entendi como os ladrões descobrem o seu número a partir de um chip desativado (algum esquema com funcionários de operadoras?). Como seria isso Danilo?
        O que podem fazer também imediatamente após o roubo, seria colocar o chip em outro aparelho e fazendo uma ligação para um celular deles já descobrem o número, então podem esperar um prazo até que a vítima reative a linha em outro chip e mandam o SMS.

    • Caio Morais

      A solução certa pra isso, é colocar PIN no chip, assim ninguem consegue acesso nele 🙂

      • CHC

        Olá Caio, isso é fácil de fazer, como seria esse procedimento, e principalmente, com que frequência e em que circunstancias eu teria que entrar com esse PIN?
        Obrigado!

        • Caio Morais

          Oi, é bem facil, só ir em Ajustes > Telefone > PIN do SIM.
          Nele vc coloca um codigo numerico de 4 digitos.
          Toda vez que voce desligar seu celular ou colocar seu chip em outro aparelho, ele vai pedir esse PIN, sem ele, a pessoa nao tera acesso nenhum al chip, inclusive a rede.

          • CHC

            Obrigado pela dica, achei bem interessante. Mas por outro lado você acaba perdendo outras funcionalidades, como por exemplo o buscar meu iPhone, caso alguém roube seu aparelho e o desligue, pronto, jamais você terá chance de reencontra-lo pois ao ligar o sistema exige senha, resumindo você ganha por um lado mas acaba perdendo em outro. De qualquer maneira obrigado pela ajuda.

      • 1Password

        Verdade …

  • Eu acho que posso ter caído nisso, teve um dia que eu estava distraído e abriram várias janelas seguidas para que eu colocasse a senha do iCloud, eu achei que fosse bug e fui inserindo a senha várias vezes…

  • 1Password

    Eu uso o APP nativo de e-mail, mas nunca ocorreu isso !!, é bom saber sobre dessa falha. Logo num APP que muita gente usa !
    Mudando agora para o Boxer

  • Anderson Santos

    essa semana eu fui entrar no Ajustes, ai apareceu essa janela pra mim re-digitar a senha de um dos meus emails, não me lembro qual, só sei que foi muito inesperado essa exigência, normal?

  • Bruno Dantas

    Parabéns pelo artigo

  • Humbs_BR

    Nossa, valeu pela dica!

  • Rodrigo Viana

    Vou contar uma parada que aconteceu. Já entraram em contato comigo 3 pessoas que tiveram o iPhone roubado e quando foram restaurar o backup aparecia uma tela parecida com essa MAS com o MEU email. E eu nunca tive iPhone roubado ou perdido, muito estranho isso. Até entrei em contato com a Apple mas ninguém soube me dizer o que poderia ter acontecido. Segue o print que umas das pessoas me mandou.

  • Junior Alves

    verificação em dois passos, não funciona mais ? alguém pode ajudar, aqui não aparece essa função.

  • Gisele Franco

    Outra coisa interessante que aconteceu comigo esses dias, foi receber um falso email da Apple informando que minha conta no iCloud tinha sido usada em outro dispositivo, no caso um iPhone 4s, e que eu deveria verificar. Só me dei conta que era pegadinha do malandro, quando vi q minha conta nao estava cadastrada naquele email. Tenso.