Con il lancio di iOS 18, Apple ha trasformato il suo strumento di gestione delle credenziali, precedentemente nascosto nelle impostazioni di sistema, in una vera e propria app autonoma: Passwords. Questa scelta mirava a rendere la gestione delle password più comoda per gli utenti, ma ha portato con sé un rischio inaspettato. Per quasi tre mesi, l'app è stata vulnerabile a un pericoloso bug che permetteva a un attaccante con accesso alla rete di dirottare le richieste di reset delle password su siti di phishing. Il problema è stato scoperto dai ricercatori di sicurezza di Mysk, che hanno analizzato il traffico della nuova app scoprendo che ben 130 siti web venivano contattati tramite connessioni HTTP non cifrate.
L'errore principale riguardava il modo in cui Passwords gestiva il recupero delle credenziali. L'app, prima dell'aggiornamento iOS 18.2, non forzava l'uso del protocollo HTTPS per le richieste di reset della password e per il recupero delle icone dei siti web. Questo comportamento lasciava spazio a un attacco noto come Man-in-the-Middle, particolarmente pericoloso su reti pubbliche come quelle di bar, aeroporti e hotel.
Un hacker collegato alla stessa rete Wi-Fi dell'utente avrebbe potuto intercettare la richiesta HTTP non cifrata prima che questa venisse reindirizzata automaticamente a una connessione sicura HTTPS. In questo modo, avrebbe potuto dirottare l'utente verso una pagina di phishing identica all'originale, inducendolo a inserire le proprie credenziali in un sito malevolo.
Il fix di Apple e la nuova protezione su iOS 18.2
La vulnerabilità è stata silenziosamente corretta a dicembre con il rilascio di iOS 18.2, ma Apple ha comunicato ufficialmente il problema solo nelle ultime 24 ore. Con l'aggiornamento, l'app Passwords ora utilizza HTTPS per tutte le connessioni, impedendo qualsiasi tentativo di intercettazione da parte di malintenzionati.
Secondo Mysk, Apple avrebbe dovuto implementare questa misura fin dal lancio di iOS 18. Inoltre, gli esperti di sicurezza suggeriscono che Cupertino potrebbe offrire agli utenti un'opzione per disattivare il download automatico delle icone dei siti, evitando richieste non necessarie a server esterni.
