Un grave bug di sicurezza ha minacciato le password degli utenti iPhone per quasi tre mesi, esponendo potenzialmente milioni di persone a sofisticati attacchi di phishing. La vulnerabilità, riscontrata nella nuova app Passwords introdotta con iOS 18, ha permesso connessioni non protette durante le operazioni di recupero delle credenziali, creando una pericolosa falla nella sicurezza dell'ecosistema Apple.
Un rischio passato quasi inosservato fino alla scoperta da parte dei ricercatori di Mysk, che hanno portato alla luce la problematica solo recentemente risolta con iOS 18.2.
La vulnerabilità nascosta nel gestore di password Apple
La falla di sicurezza riguardava specificamente il modo in cui l'app Passwords di Apple gestiva le richieste di reset delle credenziali. I ricercatori di Mysk hanno identificato ben 130 siti web che venivano contattati tramite connessioni HTTP non cifrate, anziché utilizzare il più sicuro protocollo HTTPS. Una scelta implementativa sorprendente per un'azienda che ha sempre fatto della sicurezza uno dei suoi punti di forza.
Questo comportamento anomalo esponeva gli utenti a potenziali attacchi Man-in-the-Middle, particolarmente efficaci su reti Wi-Fi pubbliche. Un malintenzionato collegato alla stessa rete dell'utente avrebbe potuto facilmente intercettare il traffico e reindirizzare le vittime verso siti di phishing costruiti ad arte per rubare le credenziali.
La trasformazione della gestione password rappresenta uno dei cambiamenti più significativi di iOS 18. Apple ha convertito quello che era un semplice strumento nascosto nelle impostazioni in un'applicazione autonoma e completa, con l'obiettivo di semplificare l'accesso e la gestione delle credenziali per gli utenti.
La meccanica dell'attacco e i rischi concreti
Il funzionamento dell'attacco era relativamente semplice ma estremamente efficace. Quando un utente tentava di recuperare una password attraverso l'app, questa inviava una richiesta HTTP non protetta che veniva normalmente reindirizzata a una connessione HTTPS sicura. Tuttavia, un attaccante sulla stessa rete poteva intercettare questa richiesta iniziale prima della redirezione, sostituendola con un link a un sito di phishing visivamente identico all'originale.
I luoghi pubblici con Wi-Fi gratuito come aeroporti, hotel e caffetterie rappresentavano gli scenari più rischiosi. In questi ambienti, un attaccante avrebbe potuto monitorare il traffico di rete e colpire selettivamente gli utenti che tentavano di gestire le proprie credenziali attraverso l'app Passwords.
Oltre al reset delle password, anche il recupero delle icone dei siti web avveniva tramite connessioni non sicure, creando ulteriori opportunità per attacchi mirati. Questa duplice vulnerabilità ha esposto gli utenti a rischi significativi per un periodo prolungato, nonostante l'apparente robustezza del sistema di sicurezza Apple.
La risposta tardiva di Apple
La correzione della vulnerabilità è arrivata con iOS 18.2 a dicembre, ma Apple ha reso pubblica la questione solo recentemente. Con l'aggiornamento, tutte le connessioni dell'app Passwords utilizzano ora esclusivamente il protocollo HTTPS, eliminando il rischio di intercettazione.
I ricercatori di Mysk hanno criticato la gestione della situazione da parte di Apple, sottolineando come un'azienda con tale attenzione alla privacy avrebbe dovuto implementare queste protezioni di base sin dal lancio di iOS 18. Gli esperti di sicurezza hanno inoltre suggerito che Apple potrebbe migliorare ulteriormente la protezione offrendo agli utenti la possibilità di disattivare il download automatico delle icone dei siti web.
Questo incidente solleva interrogativi sulla qualità dei controlli di sicurezza implementati da Apple prima del rilascio di nuove funzionalità. La mancanza di cifratura HTTPS per operazioni sensibili come la gestione delle password rappresenta una svista significativa per un'azienda che ha costruito parte della sua reputazione sulla protezione dei dati degli utenti.