L’app Passwords lanciata di recente da Apple è stata vulnerabile agli attacchi di phishing per quasi tre mesi prima che la società risolvesse silenziosamente il problema con un aggiornamento software. I ricercatori di sicurezza di Mysk hanno scoperto che l'app, introdotta con iOS 18, effettuava richieste HTTP non crittografate per recuperare le icone dei siti Web collegate alle credenziali archiviate. Questa falla ha creato un potenziale vettore di attacco, consentendo agli hacker sulla stessa rete Wi-Fi di intercettare e manipolare queste richieste, indirizzando gli utenti verso siti dannosi.
La vulnerabilità avrebbe potuto consentire agli aggressori di sostituire le icone di siti Web legittimi con icone false, inducendo gli utenti a inserire le proprie credenziali sui siti di phishing. Sebbene Apple abbia ora risolto il problema in iOS 18.2 applicando HTTPS per tutte le connessioni, la scoperta solleva preoccupazioni sulla supervisione iniziale in un’applicazione incentrata sulla sicurezza.
Passwords, la risposta di Apple ai gestori di password dedicati come 1Password e Bitwarden, è stata introdotta come parte della sua più ampia spinta per soluzioni di sicurezza integrate. L'app sincronizza le credenziali su tutti i dispositivi tramite portachiavi iCloud e offre funzionalità di riempimento automatico per accessi facili. Tuttavia, questa mancanza di sicurezza potrebbe intaccare la fiducia nell’impegno di Apple per una privacy ermetica.
Altre letture:Apple corregge il difetto Screen Time, ma la fiducia dei genitori rimane vacillante
Gli esperti di sicurezza consigliano agli utenti di assicurarsi che i propri dispositivi siano aggiornati a iOS 18.2 o versioni successive per mitigare eventuali rischi. Inoltre, consigliano di utilizzare l’autenticazione a due fattori (2FA) ove possibile per aggiungere un ulteriore livello di protezione.
Con Apple che si posiziona sempre più come azienda attenta alla privacy, questo incidente evidenzia le sfide legate al mantenimento della sicurezza nel suo ecosistema di servizi in espansione. La correzione sottolinea l’importanza dei controlli di sicurezza continui, in particolare per le applicazioni che gestiscono dati utente sensibili.
Fonte9to5Mac