L’introduzione della nuova applicazione Passwords in iOS 18 ha rappresentato un tentativo di Apple di semplificare la gestione delle password per gli utenti. Tuttavia, è emerso che un significativo bug di sicurezza ha reso vulnerabili gli utenti a possibili attacchi di phishing per quasi tre mesi, dalla prima release di iOS 18 fino all’aggiornamento 18.2. Questo problema è stato rivelato dai ricercatori di sicurezza di Mysk, che hanno analizzato le attività dell’app e ne hanno scoperto un uso rischioso del protocollo HTTP.

Seguici su Google News Ricevi i nostri aggiornamenti direttamente nel tuo feed di notizie personalizzato

Il bug di Passwords e il rischio di phishing

I ricercatori di Mysk hanno individuato il problema dopo aver notato che il report di privacy delle app sul loro iPhone mostrava che l’app Passwords contattava oltre 130 siti web tramite un traffico HTTP insicuro. Questa scoperta ha portato a un’analisi più approfondita dell’app, rivelando che non solo il programma scaricava loghi e icone utilizzando HTTP, ma apriva anche le pagine di recupero password attraverso questo protocollo non crittografato. Secondo Mysk, ciò ha esposto gli utenti a vulnerabilità significative, poiché un attaccante con accesso privilegiato alla rete avrebbe potuto intercettare le richieste HTTP e reindirizzare gli utenti verso siti di phishing.

Mysk ha illustrato come poteva verificarsi un attacco phishing sui dispositivi prima che fosse rilasciato l’aggiornamento 18.2. Hanno espresso sorpresa per il fatto che Apple non avesse imposto l’uso di HTTPS come impostazione predefinita per un’app così sensibile. Inoltre, hanno suggerito che Apple dovrebbe consentire agli utenti più attenti alla sicurezza di disabilitare il download delle icone completamente, in quanto molti non si sentono a proprio agio con il proprio gestore di password che invia continuamente richieste a ogni sito per cui hanno una password.

La pratica di reindirizzamento nelle connessioni errate

Oggi, la maggior parte dei siti web moderni permette connessioni HTTP non crittografate ma le reindirizza automaticamente a HTTPS mediante una redirezione 301. Fino alla versione 18 di Passwords, effettuare una richiesta HTTP avrebbe portato a un reindirizzamento alla versione HTTPS sicura, cosa che, in circostanze normali, non presenterebbe problemi, poiché le modifiche alle password avverrebbero su un sito crittografato.

Tuttavia, i guai nascono quando l’attaccante è connesso alla stessa rete dell’utente, ad esempio su Wi-Fi di Starbucks, aeroporto o hotel, e può intercettare la richiesta iniziale HTTP prima che avvenga il reindirizzamento. Da qui, potrebbe manomettere il traffico in vari modi, come dimostrato nell’esempio di Mysk, dove veniva alterata la richiesta per indirizzare a un sito di phishing simile a quella di Microsoft.

La soluzione di Apple e il futuro della sicurezza in Passwords

Sebbene il problema sia stato silenziosamente risolto a dicembre dell’anno scorso, Apple ha reso pubblica l’informazione solo recentemente. Attualmente, l’app Passwords utilizza HTTPS per tutte le connessioni, un’importante evoluzione per la sicurezza degli utenti. È fondamentale, quindi, assicurarsi di utilizzare almeno la versione 18.2 sui propri dispositivi per evitare le insidie cui si è stati esposti in passato.

Questo episodio dimostra quanto sia cruciale per le aziende tecnologiche garantire il massimo livello di sicurezza, specialmente quando si tratta di gestione delle credenziali. Con la continua evoluzione delle minacce informatiche, sarà fondamentale restare aggiornati sulle pratiche consigliate e sulle impostazioni di sicurezza delle applicazioni utilizzate quotidianamente.