O app Senhas da Apple, lançado com o iOS 18, permaneceu vulnerável a ataques de phishing por quase três meses devido a um bug de segurança em conexões HTTP. O problema foi corrigido apenas na atualização iOS 18.2, deixando usuários expostos durante esse período.
Falha de Segurança no App Senhas do iOS 18
Pesquisadores de segurança da Mysk descobriram que o app Senhas estava se conectando a mais de 130 sites por meio de HTTP não seguro, em vez de HTTPS criptografado. O aplicativo buscava ícones de contas e até páginas de redefinição de senha utilizando um protocolo vulnerável, o que permitia que ataques man-in-the-middle* fossem realizados por hackers em redes públicas.
*O man-in-the-middle é uma forma de ataque em que os dados trocados entre duas partes são de alguma forma interceptados, registrados e, possivelmente, alterados pelo atacante sem que as vitimas se apercebam
Como o Ataque de Phishing Funcionava?
O problema afetava usuários conectados a redes Wi-Fi públicas, como em cafés, aeroportos e hotéis. Um atacante poderia interceptar a conexão HTTP inicial e redirecionar o usuário para um site falso, semelhante ao da Microsoft (live.com) ou de outros serviços, capturando credenciais e podendo lançar novos ataques.
Embora muitos sites redirecionem automaticamente o HTTP para HTTPS seguro, a vulnerabilidade ainda permitia que um invasor manipulasse esse redirecionamento antes que a conexão segura fosse estabelecida.
Correção Silenciosa no iOS 18.2
O bug foi corrigido em dezembro de 2024, mas a Apple só revelou a falha recentemente. Agora, todas as conexões do app Senhas utilizam HTTPS por padrão, eliminando o risco de interceptação.
Para garantir a segurança dos seus dados, é essencial atualizar seu dispositivo para pelo menos o iOS 18.2.
Esse problema levanta questões sobre a necessidade de mais opções de segurança para usuários avançados, como um modo que impeça o app de fazer chamadas automáticas para todos os sites onde o usuário tem senhas salvas.
Embora a Apple tenha corrigido a vulnerabilidade, essa falha pode passar despercebida por muitos usuários. Compartilhe esta informação para garantir que mais pessoas atualizem seus dispositivos e protejam seus dados!