Publicada

Que Apple tiene una importantísima fijación con la seguridad no es un misterio para nadie. Desde hace años, la firma profesa en España y en todo el mundo una serie de estándares de privacidad y seguridad que aplica de forma férrea, ya sea blindando las piezas de los iPhone para evitar robos o reforzando la protección online de niños y adolescentes. No obstante, se acaba de descubrir un fallo que afectó a la aplicación Contraseñas de Apple, exponiendo credenciales durante años.

Así lo revelan tanto el dúo de investigadores y desarrolladores de iOS apodados Mysk como el medio 9to5Macque habían descubierto un problema de seguridad HTTP en la aplicación, prácticamente desde su lanzamiento como servicio en iOS 14, pasando por su lanzamiento como app independiente en iOS 18 hasta iOS 18.2. Este problema habría dejado las contraseñas de los usuarios del servicio desprotegidos ante ataques phishing en todo este tiempo, redirigiendo las solicitudes HTTP y redirigiéndolas a sitios web maliciosos.

La app Contraseñas en cuestión estaba enviando solicitudes no cifradas para los logotipos e iconos asociados con las contraseñas almacenadas de los usuarios. Un atacante que estuviera en la misma red WiFi y que tuviera acceso privilegiado a la red podría redirigir el tráfico de un usuario a un sitio phishing donde se podrían robar los datos de inicios de sesión. Eso sí, Apple acabó por solucionar este fallo en 18.2.

Problema en la app de Contraseñas

Los investigadores de Mysk revelan la falla en un vídeo de escasos 50 segundos, en el que se puede ver el problema siendo 'activado'. La clave está en la función para cambiar una contraseña vulnerable desde la app; desde su lanzamiento, Contraseñas advierte al usuario sobre las contraseñas vulneradas o demasiado fáciles de adivinar, ofreciendo la posibilidad al usuario de cambiarla.

Es aquí donde la app permite acceder al sitio web para cambiar contraseñas a través de un protocolo HTTP inseguro. "Esto permitía a un atacante con acceso privilegiado a la red interceptar y redirigir fácilmente las solicitudes a un sitio web de phishing", exponen los desarrolladores. Contraseñas hace una solicitud HTTP para abrir el enlace, sin usar HTTPS encriptados. Un usuario con privilegios en una red maliciosa puede redirigir estas solicitudes para enviar a la víctima a una página web falsa, con la que robarle los datos de inicio de sesión.