El error de las contraseñas de Apple dejó a los usuarios vulnerables durante tres meses

Surgió el martes que un error HTTP serio en la aplicación de contraseñas de Apple dejó a los usuarios vulnerables a los ataques de phishing durante un asombroso tres meses después de su debut el año pasado.

Se incluyó una solución para la vulnerabilidad en la actualización del software iOS 18.2, que se implementó el 11 de diciembre del año pasado. Pero las fuentes indican que el error había estado allí, sin parches, desde el lanzamiento de iOS 18.0 (y la aplicación de contraseñas en sí) el 16 de septiembre.

Los «investigadores de seguridad ocasionales» en MySK vieron el problema cuando notaron que las contraseñas estaban obteniendo logotipos e iconos a través del tráfico HTTP no entrelazado y también predeterminados a HTTP al abrir páginas de restablecimiento de contraseña.

«Esto dejó al usuario vulnerable», dijo la compañía a 9to5Mac, lo que explica el problema con más detalle que intentaré aquí. «Un atacante con acceso a la red privilegiado podría interceptar la solicitud HTTP y redirigir al usuario a un sitio web de phishing. Nos sorprendió que Apple no hiciera cumplir los HTTP por defecto para una aplicación tan sensible … [and] Apple debería proporcionar una opción para que los usuarios conscientes de la seguridad deshabilitaran por completo los iconos de descarga ”.

Las palabras de MySk fueron atendidas y Apple parcheó el error haciendo que las contraseñas usen HTTPS de forma predeterminada. Este cambio se realizó en silencio en iOS 18.2 en diciembre, pero solo se anunció el 17 de marzo: «Este problema se abordó utilizando HTTPS al enviar información a través de la red», explica Apple ahora en su página de contenido de seguridad iOS 18.2, acreditando a Talal Haj Bakry y Tommy Mysk de Mysk Inc. para el Discovery.

Los parches de seguridad de bajo perfil son una de las razones por las que recomendamos actualizaciones oportunas de software a sus dispositivos Apple. Para actualizar iOS en su iPhone, abra la aplicación Configuración, vaya a General > Actualización de softwarey siga las instrucciones en pantalla.