Se você baixa aplicativos para o seu iPhone fora da AppStore da Apple ou de lojas recomendadas, já passou da hora de se arriscar. Uma nova vulnerabilidade expõe seu aparelho a furto de informações importantes.
Pesquisadores de segurança da FireEye descobriram uma falha no iOS que permite um “ataque mascarado”, onde um aplicativo falso se passa por outro legítimo e consegue acesso total aos dados do usuário.
Os especialistas demonstraram sua descoberta enviando para um iPhone um link contendo o endereço de download de um aplicativo que supostamente seria uma nova versão do Flappy Bird. O aparelho pede a confirmação do usuário para a instalação, mas o que é realmente instalado é um malware idêntico ao aplicativo do Gmail.
O usuário não percebe o golpe porque o aplicativo falso é instalado por cima do aplicativo do Gmail verdadeiro. Enquanto isso, de posse dos dados de login do usuário, o malware envia para o servidor do atacante todas as mensagens de e-mail.
Uma variação do ataque permite que o invasor tenha acesso também aos SMS enviados para o dispositivo. No controle da conta principal de e-mail da vítima e de seus SMS, o hacker poderia assumir o controle de outros serviços importantes, como contas na nuvem, internet banking, cartão de crédito e outros sistemas que confiam no envio de e-mails e SMS para troca e recuperação de senha.
Confira o vídeo demonstrativo do ataque:
Segundo a FireEye, a Apple está ciente do problema desde 26 de Julho. A vulnerabilidade afeta todas as versões do iOS do 7 ao 8.1.1 e os únicos aplicativos que não podem ser sobrescritos são aqueles pré-instalados. Mesmo usuários com aparelhos que passaram por jailbreak estão no grupo de risco.
A melhor forma de proteção, além da atualização do sistema operacional, é nunca confiar em aplicativos oferecidos em e-mails, sites ou popups fora das lojas conhecidas, recomenda a empresa de segurança.
