Apple Passwords, segnalata una falla nella sicurezza
L'app per la gestione delle password di iOS 18 aveva una falla di sicurezza che Apple ha chiuso: è necessario aggiornare il sistema operativo per mettere al sicuro i dati
Un password manager deve poter garantire la massima sicurezza, per questo anche una piccola falla può rappresentare un problema enorme in quanto rischierebbe di mettere in pericolo i dati degli utenti. Il gruppo di ricercatori Mysk ha scoperto una falla nell’app Passwords di Apple che per alcuni mesi ha esposto al rischio di attacchi le informazioni personali di milioni di persone in tutto il mondo.
Fortunatamente, Apple ha già chiuso la falla mettendo al sicuro tutto ciò che è custodito all’interno del suo gestore di password. Questa situazione, però, conferma la necessità di prestare sempre la massima attenzione alla sicurezza e alla gestione dei propri dati e, eventualmente, attivare sistemi multi-fattore per l’accesso ai propri account.
Cosa è successo all’app di Apple
Secondo quanto rivelato da Mysk, il gestore di password di Apple, introdotto con iOS 18, era vulnerabile ad attacchi di phishing per via di un problema legato all’utilizzo del protocollo HTTP non sicuro. I ricercatori sono riusciti a risalire al problema dall’analisi dell’App Privacy Report che evidenziava un comportamento anomalo dell’app Passwords.
A chiarire la questione sono stati gli stessi ricercatori che, in un messaggio su X, hanno spiegato la fonte della vulnerabilità: “La funzionalità di modifica della password dall’interno dell’app apriva il sito Web di un account tramite HTTP non sicuro per impostazione predefinita. Ciò consentiva a un aggressore con accesso di rete privilegiato di intercettare e reindirizzare facilmente le chiamate a un sito Web di phishing“.
I ricercatori hanno anche realizzato un test per evidenziare la falla dell’applicazione e le modalità con cui era possibile entrare in possesso dei dati dell’utente nel caso in cui si verificassero determinate condizioni che permettevano a un hacker di accedere ai dati dell’utente.
L’intervento di Apple e la soluzione del problema
Per gli utenti che hanno scelto di affidare i propri dati all’app Passwords, il problema evidenziato da Mysk è stato risolto. Apple, infatti, ha chiuso la falla con il rilascio di iOS 18.2, arrivato lo scorso mese di dicembre. L’applicazione, in ogni caso, è stata potenzialmente vulnerabile per circa tre mesi.
Naturalmente, per eliminare la falla, è fondamentale aggiornare iOS, portandolo all’ultima versione disponibile. L’aggiornamento, per tutti i dispositivi supportati da iOS 18, può essere effettuato direttamente dalle Impostazioni del proprio smartphone.
La vulnerabilità del gestore di password è stata rivelata soltanto questa settimana anche se il problema è stato individuato e risolto già da tempo. È consigliabile, in ogni caso, verificare che il proprio dispositivo sia stato aggiornato per essere certi che non ci siano più rischi nell’utilizzo dell’applicazione.
