elchapuzasinformatico.com

La App Contraseñas de Apple fue durante tres meses vulnerable a los ataques, se ha parcheado en silencio

Esta semana se ha descubierto que la aplicación de Contraseñas de Apple presentaba una seria vulnerabilidad desde el lanzamiento del sistema operativo iOS 18. Lo más llamativo de todo, es que los investigadores de seguridad de Mysk reportaron este problema. Problema que no fue parcheado hasta 3 meses después con el lanzamiento de la actualización La entrada La App Contraseñas de Apple fue durante tres meses vulnerable a los ataques, se ha parcheado en silencio aparece primero en El Chapuzas Informático.

Mar 19, 2025 - 13:06
 0
La App Contraseñas de Apple fue durante tres meses vulnerable a los ataques, se ha parcheado en silencio

Esta semana se ha descubierto que la aplicación de Contraseñas de Apple presentaba una seria vulnerabilidad desde el lanzamiento del sistema operativo iOS 18. Lo más llamativo de todo, es que los investigadores de seguridad de Mysk reportaron este problema. Problema que no fue parcheado hasta 3 meses después con el lanzamiento de la actualización iOS 18.2.

Para que tengas un contexto de la importancia, la app Contraseñas permite crear contraseñas aleatorias de gran seguridad. Además de gestionar estas contraseñas en tus dispositivos Apple. Básicamente, una vulnerabilidad dejaría al descubierto las contraseñas utilizadas en todas las aplicaciones o páginas web que estén almacenadas en esta aplicación. Lo que implica un serio riesgo a la privacidad del usuario. Ya que también se podría acceder a la contraseña de iCloud con toda la información privada del usuario almacenada en la nube.

La vulnerabilidad de la App Contraseñas de Apple es de novatos: no utilizaban el protocolo HTTPS

Básicamente, el protocolo HTTP no cifra los datos que se transmiten. En este caso, toda la información entre la app Contraseñas de Apple y el servidor. Esto permite que un atacante malintencionado pueda interceptar una solicitud HTTP y redirigir al usuario a un sitio web de phishing. Haciéndose así pasar por la página legítima de restablecimiento de contraseña.

HTTPS ya emplea un cifrado TLS/SSL para proteger la información transmitida entre el dispositivo y el servidor. Evitando así que terceros puedan espiar o manipular el tráfico, poniendo en peligro al usuario. Si la app Contraseñas hubiera usado el protocolo HTTPS desde el principio, incluso si un atacante intentara interceptar el tráfico, no podría modificarlo ni redirigirlo sin que el usuario notara una alerta de seguridad en la conexión.

Tras el contexto, la aplicación Contraseñas anterior a Apple iOS 18.2 realizaba una solicitud a través de HTTP, pero esta se redirigía a la versión segura HTTPS. En circunstancias normales, esto no supondría ningún problema, ya que los cambios de contraseña se realizan en una página cifrada, lo que garantiza que las credenciales no se envíen en texto plano. Ahora bien, el problema es cuando esto se realizaba en una red donde también estuviera conectado el usuario. Y sí, eso implica cualquier Wi-Fi pública. Por lo que si el afectado y el atacante coincidía en una red Wi-Fi de un aeropuerto, hotel o cafetería, el atacante podía interceptar la solicitud HTTP inicial antes de que se redirija a la versión HTTPS. Pudiendo llevar al usuario a una web falsa para obtener los datos de inicio de sesión de un usuario.

Apple tardó 3 meses en parchear este fallo de la aplicación

App Apple contraseñas problema de vulnerabilidad HTTP

Los investigadores de seguridad descubrieron esta vulnerabilidad tras observar que el Informe de Privacidad de la App de su iPhone, la app Contraseñas había contactado con nada menos que 130 sitios web diferentes mediante tráfico HTTP inseguro. Tras indagar, descubriendo que la app no ​​solo obtenía los logotipos e iconos de las cuentas mediante HTTP, sino que también abría páginas de restablecimiento de contraseña de forma predeterminada utilizando el protocolo sin cifrar.

"Esto dejaba al usuario vulnerable: un atacante con acceso privilegiado a la red podría interceptar la solicitud HTTP y redirigirlo a un sitio web de phishing", declaró Mysk a 9to5Mac.

"Nos sorprendió que Apple no impusiera HTTPS por defecto para una aplicación tan sensible. Además, Apple debería ofrecer a los usuarios preocupados por la seguridad la opción de desactivar por completo la descarga de iconos. No me siento cómodo con mi gestor de contraseñas enviando constantemente pings a cada sitio web para el que mantengo una contraseña, a pesar de que las llamadas que envía Contraseñas no contienen ningún ID".

Si bien esta vulnerabilidad la conocemos ahora, se indica que fue parcheado en diciembre del año pasado, pero no fue hasta ayer que Apple revelaba esta aplicación. Ahora, Contraseñas utiliza HTTPS por defecto para todas las conexiones. Pero claro, requiere que los usuarios con dispositivos móviles utilicen la versión de iOS 18.2 hacia delante. Por lo que esta vulnerabilidad estuvo presente 3 meses. Que fue el tiempo desde que se lanzó iOS 18 hasta que llegara iOS 18.2.

La entrada La App Contraseñas de Apple fue durante tres meses vulnerable a los ataques, se ha parcheado en silencio aparece primero en El Chapuzas Informático.

Leer Más

Etiquetas:

Artículo Anterior

Lo contrata Apple tras hackear un iPhone y acaba despedido por no contestar a un...

Artículo Siguiente

Jenna Ortega adelanta que Miércoles tendrá un episodio de los que gustan a los a...

Publicaciones Relacionadas

Las Radeon RX 9060 llegarán en el 2º Trimestre: ¿La verdadera gama media? ¿Compatibilidad con AMD FSR 4?

Las Radeon RX 9060 llegarán en el 2º Trimestre: ¿La ver...

Mar 1, 2025  0

China entra en cólera contra Taiwán: «Están regalando su industria de semiconductores a EE.UU. para lograr la independencia»

China entra en cólera contra Taiwán: «Están regalando s...

Feb 27, 2025  0

Ryzen 9000 vs Core Ultra 200S en Linux tras 400 pruebas para 2025: AMD sigue ganando, pero Intel hasta pierde rendimiento

Ryzen 9000 vs Core Ultra 200S en Linux tras 400 pruebas...

Feb 26, 2025  0