Unos investigadores revelan que la app Contraseñas en iOS 18 estuvo expuesta a phishing durante meses

Apple transformó la herramienta Contraseñas de iPhone en una aplicación por sí misma con el lanzamiento de iOS 18. Antes era una función a la que solo podíamos acceder desde los ajustes del teléfono. Este cambio supuestamente era una forma de facilitar la gestión de credenciales por parte de los consumidores. Sin embargo, después de la última gran actualización del sistema operativo, unos investigadores han descubierto que los usuarios estuvieron expuestos a ataques de phishing.

Durante tres meses, los iPhone con iOS 18 y 18.1 fueron vulnerables a posibles hackeos. Según han comprobado los investigadores de la empresa de ciberseguridad Mysk, la app independiente Contraseñas tenía un fallo HTTP que dejaba las claves de los usuarios sin tanta protección como promete Apple. En teoría, los móviles de la marca ya están a salvo de posibles ataques, pero no fue así durante los últimos meses de 2024.

Los expertos de Mysk detectaron en el Informe de Privacidad de Contraseñas que la aplicación había contactado con 130 páginas con tráfico HTTP inseguro en lugar de HTTPS. Indagando en el asunto, el equipo de la firma de seguridad vio que la app no solo obtenía los logotipos e iconos de las cuentas mediante HTTP, sino que había webs de restablecimiento de contraseña predeterminado que usaban protocolo sin cifrar. Es decir, un hacker con acceso privilegiado a la red podía interceptar esa solicitud HTTP y redirigir a los usuarios a sitios web de phishing.

La aplicación Contraseñas fue vulnerable durante tres meses

Los investigadores de Mysk están sorprendidos de que Apple no implementara HTTPS en una app destinada a proteger contraseñas. Este error hizo que los usuarios fuesen vulnerables a posibles hackeos de ciberdelincuentes con páginas falsas HTTP.

Hay que tener en cuenta que Apple no ofrece la posibilidad de desactivar una app como Contraseñas, algo que el equipo de Mysk critica. Los investigadores aseguran que no se sienten cómodos con la idea de que un administrador de contraseñas que viene preinstalado en el iPhone pueda dar la contraseña a un sitio inseguro HTTP. Por lo tanto, lo más conveniente sería que la plataforma pudiese eliminarse de iOS por si eso volviese a pasar, pero nunca existió dicha opción.

La aplicación Contraseñas anterior a iOS 18.2 también permitía solicitudes a través de HTTP, pero esta se redirigía a una versión HTTPS. De este modo, los cambios de credenciales se realizaban en una página cifrada, garantizando que estas no se enviaban en texto. No obstante, eso no estaba siendo así en la versión iOS 18 y 18.1.

Los expertos de Mysk comprobaron que, si el atacante estaba conectado a la misma red que el usuario de iPhone, podía interceptar la solicitud HTTP inicial antes de cifrarla. De este modo, podía manipular el tráfico y enviarla a un sitio de phishing similar a la página live.com de Microsoft. Sería así como un hacker podría entrar al administrador de claves en móviles con iOS 18 y obtener fácilmente las credenciales guardadas.

Actualiza tu iPhone a la última versión

Según afirman los investigadores de Mysk, Apple solucionó discretamente el problema en diciembre de 2024. Eso quiere decir que, actualmente, no hay ninguna vulnerabilidad con Contraseñas en las últimas versiones de iOS. Sin embargo, la marca de la manzana se lo había estado callando hasta ahora, que ha terminado publicándolo en su documento «Acerca del contenido de seguridad de iOS 18.2 y iPad 18.2».

En estos momentos, la app Contraseñas utiliza ya HTTPS por defecto para todas las conexiones. Para cerciorarte de disfrutar de esta opción completamente segura, tendrás que tener iPhone actualizado. Al menos, con la versión 18.2, aunque es recomendable tener la de iOS 18.3.2, que todavía trae más mejoras de rendimiento y seguridad.

The post Unos investigadores revelan que la app Contraseñas en iOS 18 estuvo expuesta a phishing durante meses appeared first on ADSLZone.