Tres meses de peligro: cómo iOS 18 puso en riesgo las contraseñas de millones de usuarios
El uso del protocolo HTTP en la aplicación Contraseñas exponía a los usuarios a ataques de phishing.
En la aplicación «Contraseñas» (Passwords) en iOS 18 se descubrió una grave vulnerabilidad. El problema expuso a los usuarios al riesgo de ataques de phishing durante casi tres meses, desde el primer lanzamiento de iOS 18, donde la funcionalidad de «Contraseñas» se separó en una aplicación independiente, hasta la publicación de la corrección en iOS 18.2.
Investigadores de seguridad de la empresa Mysk descubrieron la vulnerabilidad después de notar que el informe de privacidad de aplicaciones en iPhone mostraba que «Contraseñas» se conectaba con 130 sitios web diferentes a través de tráfico HTTP no seguro. Una investigación más profunda reveló que la aplicación no solo cargaba los logotipos e iconos de cuentas mediante HTTP, sino que también abría por defecto las páginas de restablecimiento de contraseñas utilizando un protocolo no cifrado.
Según los especialistas de Mysk, esto creaba una vulnerabilidad: un atacante con acceso privilegiado a la red podía interceptar la solicitud HTTP y redirigir al usuario a un sitio web de phishing. Los investigadores expresaron su sorpresa de que Apple no asegurara el uso de HTTPS por defecto en una aplicación tan sensible.
La mayoría de los sitios web modernos permiten conexiones HTTP no cifradas, pero las redirigen automáticamente a HTTPS utilizando un redireccionamiento 301. Antes del lanzamiento de iOS 18.2, la aplicación «Contraseñas» realizaba la solicitud a través de HTTP, que luego era redirigida a la versión segura en HTTPS.
El problema surgía cuando un atacante estaba en la misma red que el usuario (por ejemplo, en una cafetería, aeropuerto u hotel con Wi-Fi) y lograba interceptar la solicitud HTTP inicial antes de la redirección. En este caso, el atacante podía manipular el tráfico de varias maneras, incluida la redirección a un sitio de phishing, lo que le permitía recopilar credenciales de las víctimas.
Aunque la vulnerabilidad fue corregida silenciosamente en diciembre del año pasado, Apple reveló la información sobre ella solo el 17 de marzo. Ahora, la aplicación «Contraseñas» utiliza HTTPS por defecto para todas las conexiones. Se recomienda a todos los usuarios de iOS instalar la última versión del sistema operativo para evitar posibles ataques.
No esperes a que los hackers te ataquen: ¡suscríbete a nuestro canal y conviértete en una fortaleza impenetrable!