L'app Contrasenyes va ser vulnerable a atacs durant diversos mesos, però Apple ho va solucionar amb l'actualització a iOS 18.2

D'acord amb una investigació feta per Mysk, es va descobrir que l'aplicació de Contrasenyes va ser vulnerable durant els mesos previs a la sortida d'iOS 18.2. Això es deu al fet que un greu error del protocol HTTP va poder sotmetre els usuaris a atacs de phishing. L'exemple que ens mostren els investigadors de seguretat és molt simple però efectiu, qualsevol actor que pogués infiltrar-se en un canvi de contrasenya podia col·locar una pàgina falsa en lloc d'una de verídica i real.

L'app Contrasenyes d'Apple va operar de forma insegura previ a iOS 18.2

El Clauer era la forma ideal d'Apple abans d'iOS 18 per a gestionar contrasenyes. Alguns usuaris van preferir no confiar-hi mai, alguns altres sí tot i que això va canviar amb l'app de Contrasenyes. L'app és bona en el seu aspecte principal que és guardar tota mena de contrasenyes dels serveis amb què comptem al web i de les apps del nostre iPhone. És possible migrar d'un servei com 1Password o LastPass a Contrasenyes d'Apple.

Amb el que mai esperàvem comptar és amb una certa dosi d'inseguretat a causa que l'aplicació tenia una vulnerabilitat que exposava els usuaris a atacs mitjançant phishing. Tal com ho demostren en aquest vídeo, qualsevol usuari en el moment de sol·licitar un canvi de contrasenya podia ser víctima en accedir a una pàgina amb protocol HTTP.

Es va poder conèixer que l'app de Contrasenyes va contactar amb 130 llocs web diferents mitjançant el protocol insegur d'HTTP. Això va generar incertesa en la firma d'investigació, per la qual cosa es van proposar arribar al fons de l'assumpte. L'app de Contrasenyes obté logotips, icones i qualsevol gràfic i text relacionat amb un servei i el pitjor és que en qualsevol cas de restabliment de contrasenya el protocol mai va ser xifrat.

És normal que un lloc web actualment permeti HTTP encara que es redirigeixin automàticament a HTTPS a causa de la redirecció 301. El problema rau quan hi ha atacants connectats a una xarxa on els usuaris conviuen diàriament. Qualsevol amb accés podria interceptar aquesta connexió HTTP abans de ser redirigida.

Apple va solucionar el problema de manera discreta el desembre de 2024

Els de Cupertino no van revelar aquesta informació fins fa dos dies quan revelen l'origen de la troballa amb Talal Haj Bakry i Tommy Mysk de la firma de seguretat amb el mateix nom. Per la qual cosa si estàs utilitzant constantment l'app de Contrasenyes i encara no has actualitzat a l'última versió d'iOS 18 disponible, hauries de fer-ho immediatament.

Ara l'aplicació de Contrasenyes utilitza el protocol HTTPS per defecte en totes les connexions. Si fas alguna activitat de restabliment de contrasenya ja no hi ha cap perill que succeeixi el que es va mostrar al vídeo de Mysk. Desitgem que no hagis estat víctima d'aquest tipus de phishing, és una cosa que va passar totalment desapercebuda per a tothom.