Un bug nell’app Passwords di iOS 18.2, che ha esposto gli utenti a possibili attacchi di phishing per oltre tre mesi, è stato corretto con un aggiornamento di Apple.
La vulnerabilità è stata scoperta dai ricercatori di Mysk, che hanno notato nel Rapporto sulla Privacy delle App che l’app Passwords aveva contattato 130 siti web utilizzando il protocollo HTTP non sicuro.
L’app apriva i link e scaricava le icone delle app tramite HTTP invece di HTTPS, una connessione crittografata più sicura. Inoltre, impostava di default le pagine di reset delle password su HTTP, esponendo gli utenti a rischi. Secondo i ricercatori, un attaccante con accesso privilegiato alla rete avrebbe potuto intercettare le richieste HTTP e reindirizzare gli utenti verso siti di phishing.
Ora finalmente la Patch
Il rischio principale di questa vulnerabilità era che i cybercriminali potessero sfruttarla per eseguire attacchi di social engineering, reindirizzando le vittime verso siti web non sicuri.
Ora, l’app Passwords utilizza HTTPS per tutte le connessioni di default, quindi è fondamentale aggiornare i dispositivi Apple ad iOS 18.2 o versioni successive per evitare rischi.
Negli ultimi mesi, gli attacchi ai gestori di password sono aumentati in modo significativo, con un incremento triplo del malware progettato per rubare credenziali archiviate nei password manager.
Gli attacchi stanno diventando sempre più sofisticati, con hacker che adottano strategie multi-fase più complesse e prolungate, sfruttando nuove generazioni di malware. Questi strumenti, come gli infostealer, sono più persistenti, discreti e automatizzati rispetto al passato.
Per proteggere le proprie credenziali, è essenziale affidarsi a un password manager sicuro, che non solo memorizza e genera password complesse, ma le compila automaticamente nei siti e nelle app, evitando il rischio di esposizione e semplificando la gestione della sicurezza online.
