Apple ha corretto un bug nell’app Password che esponeva gli utenti al phishing
Apple ha introdotto l’app Password con iOS 18 per rendere la gestione delle credenziali più semplice e immediata. Tuttavia, un grave bug ha reso gli utenti vulnerabili a possibili attacchi di phishing per quasi tre mesi, fino alla patch rilasciata con iOS 18.2.
La falla è stata scoperta dai ricercatori di sicurezza Mysk, i quali hanno notato che l’app Password contattava oltre 130 siti web utilizzando connessioni non sicure HTTP.
Questa vulnerabilità consentiva a un hacker con accesso alla stessa rete Wi-Fi di intercettare e reindirizzare gli utenti verso siti di phishing. Mysk ha spiegato il problema nel dettaglio:
“Non solo l’app scaricava i loghi e le icone degli account tramite HTTP, ma apriva anche le pagine di reset delle password utilizzando lo stesso protocollo non crittografato. Questo lasciava l’utente vulnerabile: un attaccante con accesso privilegiato alla rete poteva intercettare la richiesta HTTP e reindirizzarlo verso un sito di phishing”.
In pratica, un malintenzionato in un bar, aeroporto o hotel poteva intercettare il traffico e modificare la richiesta HTTP per indirizzare l’utente su una copia fasulla di un sito ufficiale, come Microsoft Live, e rubare così le credenziali.
Mysk ha criticato Apple per non aver imposto l’HTTPS come impostazione predefinita per un’app così sensibile:
“Siamo rimasti sorpresi dal fatto che Apple non imponga l’uso di HTTPS come impostazione predefinita per un’app così critica. Inoltre, bisognerebbe poter disabilitare completamente il download delle icone, poiché non è ideale che un gestore delle password contatti continuamente ogni sito per cui conserviamo le credenziali.”
Nonostante la correzione in iOS 18.2, Apple ha rivelato il problema solo nelle ultime 24 ore.
