Aplicativo Passwords da Apple ficou vulnerável por quase três meses após lançamento

Pesquisadores de segurança identificaram uma falha no aplicativo Passwords da Apple ao perceberem que o Relatório de Privacidade de Apps do iPhone indicava conexões inseguras com 130 sites diferentes via HTTP, utilizadas para buscar logotipos e ícones de contas. Além disso, o app abria páginas de redefinição de senha por padrão em um protocolo não criptografado.

Essa vulnerabilidade permitia que um invasor com acesso privilegiado à rede interceptasse solicitações HTTP e redirecionasse o usuário para páginas de phishing.

Embora as conexões fossem posteriormente redirecionadas para HTTPS, caso o usuário estivesse em uma rede pública – como em cafeterias, aeroportos ou hotéis –, um atacante poderia interceptar e manipular o tráfego antes da transição para o protocolo seguro.

Em testes, os pesquisadores conseguiram modificar a solicitação para direcionar usuários a uma página falsa que imitava um login da Microsoft, facilitando o roubo de credenciais.

A Apple corrigiu o problema em dezembro do ano passado, mas só agora revelou a falha.

Recomenda-se garantir que o dispositivo esteja atualizado para o iOS 18.2 ou superior.