La recente scoperta di una vulnerabilità nell’app Passwords di Apple ha sollevato preoccupazioni importanti sulla sicurezza delle connessioni utilizzate per le credenziali. Il problema, individuato dai ricercatori di sicurezza di Mysk, era legato all’uso improprio del protocollo HTTP non sicuro. Ciò ha lasciato esposti milioni di dispositivi al rischio di attacchi di phishing per quasi tre mesi. Apple ha introdotto Passwords come un’app autonoma con il rilascio di iOS 18. Il suo scopo è offrire una gestione delle password più intuitiva e accessibile. Eppure, fin dalla sua prima versione, l’app presentava una grave falla di sicurezza.
Apple Password: problemi di vulnerabilità
L’app utilizzava connessioni HTTP anziché HTTPS per comunicare con numerosi siti web. Ciò al fine di scaricare icone degli account e accedere alle pagine di reset delle password. Tale comportamento è stato confermato dall’analisi dell’App Privacy Report su un dispositivo iOS, che ha evidenziato circa 130 siti web contattati tramite protocolli non cifrati.
L’assenza di crittografia in tali richieste lasciava aperta la possibilità di intercettazioni da parte di malintenzionati con accesso privilegiato alla rete. In ambienti pubblici, come aeroporti, hotel o reti Wi-Fi aperte, un attaccante poteva facilmente monitorare e manipolare il traffico HTTP. Reindirizzando l’utente verso siti di phishing perfettamente mascherati da quelli originali.
Nonostante la gravità del problema, Apple ha corretto silenziosamente la vulnerabilità con il rilascio di iOS 18.2 e iPadOS 18.2. Implementando, finalmente, l’uso esclusivo di connessioni HTTPS. Eppure, la divulgazione ufficiale di tale problema è avvenuta solo recentemente, destando perplessità tra gli esperti di sicurezza riguardo alla mancanza di trasparenza nel processo.
Mysk ha criticato l’approccio di Apple, evidenziando come sia stato un errore non garantire la sicurezza delle connessioni HTTP fin dall’inizio, soprattutto in un’app così sensibile. Inoltre, è stata evidenziata l’assenza di un’opzione per disattivare il download automatico delle icone dei siti. Un’ulteriore potenziale vulnerabilità che potrebbe essere sfruttata da malintenzionati. Gli utenti devono assicurarsi di aggiornare i propri dispositivi almeno alla versione iOS 18.2. Ciò per garantirsi una protezione completa.
Rimani aggiornato seguendoci su Google News!
