Noticias
18/03/25, 22:00:43
Apple no lo contó, pero Passwords tuvo un fallo de seguridad durante tres meses
https://static.htcmania.com/2023-09-126-09-01-19-18032025-47908-htcmania.webp
Apple ha corregido una grave vulnerabilidad en su nueva aplicación Passwords, que estuvo expuesta a ataques de phishing durante casi tres meses tras el lanzamiento de iOS 18. Investigadores de seguridad descubrieron que la app realizaba conexiones no cifradas mediante HTTP para recuperar logotipos de sitios web y abrir páginas de restablecimiento de contraseñas, lo que permitía a atacantes interceptar y manipular las solicitudes. El problema fue detectado por el equipo de seguridad de Mysk, quienes notaron que la aplicación se conectaba a más de 130 sitios web a través de HTTP, exponiendo a los usuarios a posibles ataques en redes Wi-Fi públicas como las de cafeterías, aeropuertos y hoteles. Un atacante con acceso privilegiado a la red podía interceptar el tráfico y redirigir a la víctima a una página falsa de inicio de sesión, similar a la de Microsoft Live, para robar credenciales. Aunque muchos sitios modernos redirigen automáticamente HTTP a HTTPS, el problema radicaba en que la aplicación Passwords realizaba inicialmente la solicitud de forma insegura. Apple solucionó esta vulnerabilidad en iOS 18.2, obligando ahora a que todas las conexiones se realicen mediante HTTPS. Sin embargo, la compañía solo reveló esta corrección recientemente, meses después de haber lanzado el parche. Para evitar riesgos, los usuarios deben asegurarse de actualizar su dispositivo a iOS 18.2 o versiones posteriores.
fuente (https://9to5mac.com/2025/03/18/apples-passwords-app-was-vulnerable-to-phishing-attacks-for-nearly-three-months-after-launch/)
https://static.htcmania.com/2023-09-126-09-01-19-18032025-47908-htcmania.webp
Apple ha corregido una grave vulnerabilidad en su nueva aplicación Passwords, que estuvo expuesta a ataques de phishing durante casi tres meses tras el lanzamiento de iOS 18. Investigadores de seguridad descubrieron que la app realizaba conexiones no cifradas mediante HTTP para recuperar logotipos de sitios web y abrir páginas de restablecimiento de contraseñas, lo que permitía a atacantes interceptar y manipular las solicitudes. El problema fue detectado por el equipo de seguridad de Mysk, quienes notaron que la aplicación se conectaba a más de 130 sitios web a través de HTTP, exponiendo a los usuarios a posibles ataques en redes Wi-Fi públicas como las de cafeterías, aeropuertos y hoteles. Un atacante con acceso privilegiado a la red podía interceptar el tráfico y redirigir a la víctima a una página falsa de inicio de sesión, similar a la de Microsoft Live, para robar credenciales. Aunque muchos sitios modernos redirigen automáticamente HTTP a HTTPS, el problema radicaba en que la aplicación Passwords realizaba inicialmente la solicitud de forma insegura. Apple solucionó esta vulnerabilidad en iOS 18.2, obligando ahora a que todas las conexiones se realicen mediante HTTPS. Sin embargo, la compañía solo reveló esta corrección recientemente, meses después de haber lanzado el parche. Para evitar riesgos, los usuarios deben asegurarse de actualizar su dispositivo a iOS 18.2 o versiones posteriores.
fuente (https://9to5mac.com/2025/03/18/apples-passwords-app-was-vulnerable-to-phishing-attacks-for-nearly-three-months-after-launch/)