Popups para digitação de senha são parte da experiência de uso do iPhone. Vai baixar um app? Vez ou outra a Apple exige que o usuário digite sua senha para confirmar sua identidade. Várias ações pedem a digitação de uma senha, o que, por si só, não é um problema. A questão, porém, é que os popups legítimos do sistema são idênticos aos exibidos por aplicativos, e isso pode se transformar em uma questão grave de segurança.
Por serem tão recorrentes, boa parte dos usuários sequer nota onde ele está digitando sua senha. É nesse momento que a similaridade entre os popups pode se transformar em uma vulnerabilidade, como notou o desenvolvedor Felix Krause em seu blog. Ele publicou a imagem abaixo, que mostra, uma janela produzida de forma legítima pelo iOS e a janela falsa criada para fins de roubar uma senha. Um usuário distraído não vai perceber nenhuma diferença.
A solução é bem simples, mas pode demorar para ser implementada. Segundo o desenvolvedor, a Apple só precisa distinguir de forma mais clara os elementos de interface do sistema e os elementos de interface dos aplicativos, de forma que fique claro para o usuário de onde vem cada janela.
Enquanto a Apple não resolve o problema, existem algumas precauções que podem ser tomadas pelos usuários. Ao receber uma janela de autenticação, o usuário só precisa pressionar o botão Home; se o popup sumir assim que o app for minimizado, existe uma chance grande de que se tratava de uma tentativa de golpe. Se a janela e o app persistirem abertos, trata-se de uma notificação do sistema. O desenvolvedor, no entanto, recomenda nunca digitar senha nenhuma em janelas do iOS. A melhor opção é dispensar o popup e acessar manualmente até a área de Ajustes do sistema e inserir qualquer senha que for necessária ali.
Outra solução de segurança importante é a autenticação em dois passos. Com o recurso, mesmo que alguém tenha a sua senha, ela não conseguirá acessar sua conta sem acesso físico ao seu celular para copiar o número de verificação enviado por SMS. O problema é que essa segunda senha também pode ser roubada com o método do popup falso, embora isso seja muito mais difícil, por se tratar de um código temporário.