Apple corrigió una falla de seguridad severa en la aplicación de contraseña con iOS 18.2 – MacMagazine

El dúo de investigadores Mysk [@mysk_co] descubrió una grave falla de seguridad en la aplicación Contraseñas (Contraseñas) de iOS 18, que dejó a los usuarios de Apple vulnerables durante tres meses hasta que se corrige en la versión 18.2 del sistema.

Según la información compartida por el grupo para 9to5machasta que se lanzó esta versión del sistema, el Administrador de contraseñas de Apple estaba utilizando el estándar Http – que no tiene cifrado, para cargar no solo logotipos e iconos de cuenta, sino también páginas de redefinición de contraseña.

Según el par, que demostró la violación en un video (a continuación), alguien con acceso privilegiado a la red de usuarios «podría interceptar la solicitud HTTP y redirigir al usuario a un sitio web phishing«.

Para los investigadores, que han clasificado el descubrimiento de que Apple no impuso el uso de HTTPS en su aplicación como «sorprendente», la compañía debería ofrecer una opción para que los usuarios desactiven logotipos de carga, sitios web y el tipo de su aplicación por completo. Por lo tanto, no sería vulnerable a este tipo de ataque, ya que ya no haría estas conexiones y esas solicitudes.

Vale la pena señalar que, si bien las contraseñas hicieron estos pedidos a través de HTTP, los redirigió a HTTP poco después, manteniendo la seguridad. En otras palabras, en situaciones normales, este problema no era un peligro: la situación solo podría cambiar las cifras incluso si una galleta obtuviera acceso a la red del usuario (como en el caso de las conexiones públicas).

IOS 18.2, como sabemos, se lanzó en diciembre, pero Apple solo hizo esta corrección recientemente en una página de soporte. Si todavía está ejecutando esta versión del sistema y usa contraseñas, ¡actualice su dispositivo lo antes posible!