Apple
Apple ha descubierto un fallo en la aplicación Contraseñas que dejó a los usuarios de iPhone vulnerables a ataques de phishing durante tres meses.
Según 9to5Mac, las contraseñas descargaban logotipos e iconos de cuentas utilizando un protocolo HTTP no seguro y abrían páginas de restablecimiento de contraseñas utilizando el mismo protocolo. La ausencia de cifrado significa que un atacante en la misma red Wi-Fi que tú (por ejemplo, en una pública, en un aeropuerto o cafetería) podría interceptar tu solicitud y redirigirte a un sitio similar para robar tus credenciales.
El fallo fue notificado por primera vez por investigadores de seguridad del desarrollador de aplicaciones Mysk, que observaron que el informe de privacidad de la aplicación para iPhone mostraba que Contraseñas se había comunicado con más de 130 sitios web a través de HTTP no seguro.
«Nos sorprendió que Apple no utilizara HTTPS por defecto para una app tan sensible,» afirma el investigador Mysk. «Además, Apple debería dar a los usuarios la opción de desactivar por completo las descargas de iconos. No me siento cómodo con mi gestor de contraseñas accediendo constantemente a cada sitio para el que almaceno una contraseña, incluso si estas solicitudes enviadas por Contraseñas no contienen ningún identificador».
Apple acabó corrigiendo el error con la actualización de iOS 18.2 de diciembre (pero ahora mismo), pero en realidad el problema existía desde hacía tres meses, por lo que es posible que un cierto número de usuarios ya estuvieran expuestos al phishing.
.
Apple Passwords — es una aplicación de gestión de contraseñas, por primera vez introducido con OS 18, iPadOS 18, macOS Sequoia y visionOS 2 en otoño. Es básicamente una alternativa a iCloud Keychain, pero también divide los inicios de sesión en diferentes categorías, como cuentas, redes Wi-Fi y claves de acceso.