Bug permite capturar senhas em iPhones e iPads

A maioria dos donos de iPad e iPhone confia na senha da sua Apple ID para evitar o acesso aos detalhes da sua conta. No entanto, isso não impede que qualquer com um pouco de conhecimento consiga acessar os dados da conta e de login, como mostra uma brecha identificada recentemente.

Sempre que você quer mudar uma configuração em um iPad ou iPhone, com exceção de itens menos críticos como o despertador ou o volume, a Apple pede para você digitar seu código Apple ID. Algumas pessoas colocam uma senha de quatro dígitos para evitar que qualquer um que não seja você consiga acessar seus dados.

Mas nem todos os usuários são cuidadosos assim. Acham que não é possível fazer muita coisa apenas navegando pelos menus do equipamento. Mas veja como o acesso indevido, com captura de senha é possível:

Vá até a App Store e clique em um item para baixar. Assumindo que ele seja um app gratuito, você receberá um pedido para digitar a senha da sua conta na Apple. Faça isso, e então espere pelo início da instalação do app.

Volte em alguns minutos e você poderá comprar mais aplicativos sem precisar digitar a senha mais uma vez (isso foi possível por pelo menos 20 minutos em testes da Macworld Brasil). Em outras palavras, você poderá realizar mais compras, inclusive de apps pagos, sem especificamente precisar concordar com elas.

Essa prática não tem muito uso além disso, mas a mesma ideia pode ser utilizada para acessar os detalhes de acesso, senha e pagamento de uma conta de usuário. Tudo o que precisa acontecer para isso é a pessoa deixar seu iPad ou iPhone desprotegido por alguns minutos na mesa. Isso deixa o aparelho iOS aberto para alguém mergulhar no seu menu de Ajustes e ter acesso ao seu endereço de casa, nome, senha, lembrete de senha e informações parciais de cartão de crédito.

Esse método de “hack” funciona exatamente por causa da mesma falta de necessidade de digitar uma senha novamente que se aplica as mudanças nos Ajustes do seu aparelho iOS. Se o dono da conta registrada tiver digitado a senha necessária recentemente, você pode não precisar digitar a senha novamente para acessar esses itens sensíveis no menu Ajustes.

Usando a situação anterior, nós conseguimos acessar os Ajustes, o menu interno Loja, e então visualizar os detalhes de lembrete de senha e informações completas de endereço e telefone do usuário. Só foi preciso clicar na opção Ver ID Apple e descer pelas informações que aparecem. Nós pudemos então tirar uma cópia da tela com os detalhes e, a partir da galeria de fotos do iPad, enviar por e-mail o screenshot para o endereço desejado.

No início pensamos que estávamos apenas com sorte, por isso verificamos o processo em outro iPad, sendo que desta vez com uma senha da ID Apple exigida para acessar as configurações da senha.

_{Ao clicar na opção iForgot, é possível pedir que
a Apple te envie e-mail para reiniciar senha}

Acontece que mesmo que você clique nos Ajustes e vá até o menu Loja e então receba o pedido pela senha, você provavelmente conseguirá acessar os dados de conta, incluindo o endereço completo e o lembrete de senha.

Se você não sabe a senha, clique na opção iForgot. Você será então levado a uma página no site da Apple onde pode tanto verificar seus detalhes usando a Apple ID e as informações de lembrete de senha que foram fornecidas na criação da conta Apple – ou também é possível requisitar um lembrete por e-mail.

Escolha a última opção e a Apple enviará um link dentro de alguns segundos. Nos dois iPads em que os testes foram feitos, conseguimos com sucesso reiniciar a senha ao seguir o link enviado pela Apple então digitar uma nova senha.

Ao devolver os dois tablets para seus donos que não desconfiavam de nada, um deles conseguiu reiniciar sua Apple ID ao acessar sua conta online; o outro acabou ficando bloqueado de acessar sua senha após tentar reiniciar seu código no próprio iPad.

Em seguida, eles foram informados sobre o que aconteceu e todos os detalhes que puderam ser vistos com essa estratégia simples. Fica a dica: o bloqueio por código (em Ajustes, Geral, Bloqueio por Código) pode manter os xeretas longe do seu Apple ID.