Apple parcheó recientemente una vulnerabilidad de seguridad importante en la aplicación Contraseñas de iOS 18.2. Durante tres meses, a partir del lanzamiento inicial de iOS 18, los usuarios estuvieron potencialmente expuestos a ataques de phishing debido a que la aplicación enviaba solicitudes no encriptadas de logotipos e iconos de sitios web.
Apple abordó recientemente una importante falla de seguridad en su aplicación Contraseñas, una vulnerabilidad que expuso a los usuarios a posibles ataques de phishing durante un período de tres meses. Este problema, introducido por primera vez con el lanzamiento de iOS 18, fue finalmente solucionado en iOS 18.2, según una actualización de contenido de seguridad de Apple destacada por 9to5Mac. El núcleo del problema residía en cómo la aplicación Contraseñas manejaba ciertas solicitudes de red, específicamente aquellas relacionadas con la visualización de logotipos e iconos asociados con las credenciales de sitios web almacenadas.
La vulnerabilidad se derivaba de que la aplicación Contraseñas enviaba solicitudes no encriptadas para estos elementos visuales. Como detalla 9to5Mac, estas solicitudes de logotipos e iconos de sitios se transmitían sin la protección del cifrado HTTPS. Esta falta de cifrado creó una ventana de oportunidad para los atacantes, particularmente aquellos ubicados en la misma red que el usuario.
En consecuencia, la ausencia de cifrado significaba que un atacante que compartiera la misma red Wi-Fi, por ejemplo, en un lugar público como un aeropuerto o una cafetería, podría interceptar estas solicitudes no encriptadas. Esta interceptación permitía al atacante redirigir potencialmente el navegador del usuario a un sitio web fraudulento diseñado para imitar el sitio legítimo. Dicho sitio de phishing similar podría entonces usarse para engañar al usuario para que ingrese sus credenciales de inicio de sesión, que luego serían robadas por el atacante. Esta vulnerabilidad específica fue descubierta e informada inicialmente por investigadores de seguridad de la firma de desarrollo de aplicaciones Mysk.
La propia descripción de Apple del error y su resolución confirma la naturaleza del problema. En su actualización de contenido de seguridad, Apple declara el impacto de la vulnerabilidad como: “Un usuario en una posición de red privilegiada puede filtrar información confidencial”. Además, explican la solución: “Este problema se solucionó utilizando HTTPS al enviar información a través de la red”. Esto indica claramente que el problema era la falta de transmisión encriptada para ciertos datos dentro de la aplicación Contraseñas.
Los investigadores de seguridad de Mysk, que identificaron por primera vez esta falla, documentaron sus hallazgos e incluso proporcionaron una demostración del impacto potencial del error. En la descripción que acompaña a un video de YouTube que muestra la vulnerabilidad, Mysk afirma explícitamente que informaron este problema a Apple en septiembre. Esta línea de tiempo se alinea con el período de vulnerabilidad, que duró tres meses a partir del lanzamiento de iOS 18.
Además, esta vulnerabilidad no se limitó únicamente a la aplicación Contraseñas de iOS. Las actualizaciones de contenido de seguridad de Apple revelan que el mismo error estaba presente y posteriormente se solucionó en la funcionalidad de Contraseñas en otras plataformas de Apple también. Esto incluye actualizaciones de seguridad para macOS, iPadOS e incluso Vision Pro, lo que indica un problema más amplio con la forma en que la función Contraseñas manejaba ciertas comunicaciones de red en todo el ecosistema de Apple antes de que se implementara la solución. La descripción consistente del error y su resolución en estas plataformas subraya la naturaleza sistémica del problema de la transmisión de datos no encriptados.
Durante tres meses, un error en la aplicación Contraseñas de iOS 18 expuso a los usuarios a ataques de phishing debido a la transmisión de datos no cifrados. Apple solucionó recientemente el problema con iOS 18.2, exigiendo HTTPS para las solicitudes de red. Esta vulnerabilidad, descubierta por investigadores de seguridad, resalta la importancia de la vigilancia incluso con aplicaciones de confianza y subraya la necesidad de actualizaciones de seguridad continuas.
Leave a Reply