Apple corrige vulnerabilidade de senhas que coloca usuários em risco por três meses

A Apple corrigiu uma vulnerabilidade no aplicativo Senhas no iOS 18.2 que estava presente há três meses desde o lançamento do iOS 18, deixando os usuários vulneráveis ​​a ataques de phishing, informou o 9to5Mac. A correção foi feita em dezembro, mas a Apple só revelou informações sobre ela agora.

Fonte da imagem: 9to5Mac

No iOS 18, a Apple separou a ferramenta de gerenciamento de senhas Keychain, que antes estava localizada em Ajustes, em um aplicativo Senhas separado. Pesquisadores de segurança da Mysk foram os primeiros a identificar a vulnerabilidade, observando que o Relatório de Privacidade de Aplicativos do iPhone descobriu que o Passwords estava se comunicando com 130 sites diferentes pelo protocolo HTTP inseguro. Após uma investigação mais aprofundada, eles descobriram que o aplicativo não estava apenas recuperando logotipos e ícones de contas via HTTP, mas também estava abrindo páginas de redefinição de senha por padrão usando um protocolo não criptografado. “Isso deixou o usuário vulnerável: um invasor com acesso privilegiado à rede poderia interceptar a solicitação HTTP e redirecionar o usuário para um site de phishing”, disse Mysk ao 9to5Mac.

Os pesquisadores sugeriram que a Apple deveria ter habilitado o suporte a HTTPS por padrão para um “aplicativo tão sensível” e também fornecido aos usuários preocupados com a segurança a opção de desabilitar completamente o carregamento de ícones.

A maioria dos sites modernos agora permite conexões HTTP não criptografadas, mas as redireciona automaticamente para HTTPS usando um redirecionamento 301 (Redirecionamento Permanente 301). Vale ressaltar que, embora o aplicativo Senhas fizesse a solicitação por HTTP antes do iOS 18.2, ele redirecionava para a versão segura HTTPS. Isso não representa uma ameaça em circunstâncias normais, pois a alteração da senha ocorre em uma página criptografada, garantindo que as credenciais não sejam enviadas de forma clara. No entanto, isso apresenta um problema quando um invasor está conectado à mesma rede que o usuário (como uma rede Wi-Fi do Starbucks, aeroporto ou hotel) e intercepta a solicitação HTTP original antes que ela seja redirecionada. Nesse caso, o hacker pode manipular o tráfego de várias maneiras, inclusive alterando a solicitação para redirecionar para um site de phishing.

Com o lançamento do iOS 18.2, o aplicativo Senhas usa HTTPS por padrão para todas as conexões, então os usuários são aconselhados a atualizar o sistema operacional em seus iPhones.

avalanche

Postagens recentes

“Enquanto eu assistia isso, minha placa de vídeo começou a chorar”: o primeiro gameplay de Total War: Warhammer 40.000 fez os jogadores duvidarem de seus PCs

\nO estúdio britânico Creative Assembly (de propriedade da Sega) realizou a primeira demonstração de jogabilidade…

2 horas atrás

A Valve admitiu que o indicador de superaquecimento da Steam Machine está disparando muito cedo – uma atualização do BIOS resolverá o problema

\nA Valve informou que o sistema de proteção contra superaquecimento do mini-PC Steam Machine não…

2 horas atrás

A UE impôs sanções contra VK e o desenvolvedor do mensageiro Max

\nO Conselho da União Europeia ampliou a lista de sanções para incluir a empresa VK…

2 horas atrás

A Gigabyte apresentou a placa compacta B850M Aorus Stealth com conectores no verso

\nA Gigabyte lançou a placa-mãe compacta B850M Aorus Stealth no formato Micro-ATX. A principal característica…

3 horas atrás

Máximo de duas horas por dia: o Ministério da Educação da Federação Russa anunciou por quanto tempo as crianças podem usar os gadgets

\nO Ministério da Educação da Federação Russa estabeleceu padrões para o uso de smartphones, computadores…

4 horas atrás

Sony enfrenta investigação antitruste por se recusar a lançar jogos em disco

\nA recente decisão da Sony de parar de lançar jogos em discos ópticos a partir…

5 horas atrás