Apple corrigiu falha grave de segurança no aplicativo Senhas com o iOS 18.2

A dupla de pesquisadores Mysk [@mysk_co] descobriu uma falha de segurança grave no aplicativo Senhas (Passwords) do iOS 18, a qual deixou usuários da Apple vulneráveis por três meses até ser corrigida na versão 18.2 do sistema.

De acordo com informações compartilhadas pelo grupo ao 9to5Mac, até essa versão do sistema ser liberada, o gerenciador de senhas da Apple estava usando o padrão HTTP — que não possui criptografia — para carregar não só logotipos e ícones de contas, mas também páginas de redefinição de senha.

Segundo a dupla, que demonstrou a brecha em um vídeo (abaixo), alguém com acesso privilegiado à rede do usuário “poderia interceptar a solicitação HTTP e redirecionar o usuário para um site de phishing“.

Para os pesquisadores, que classificaram a descoberta de que a Apple não impunha o uso do HTTPS no seu app como “surpreendente”, a empresa deveria oferecer uma opção para que usuários possam desabilitar o carregamento de logotipos, ícones de sites e coisas do tipo no seu app por completo. Assim, ele não ficaria vulnerável a esse tipo de ataque, já que não realizaria mais essas conexões e pedidos.

Vale notar que, embora o Senhas realizasse esses pedidos via HTTP, ele os redirecionava para HTTPS logo em seguida, mantendo a segurança. Em outras palavras, em situações normais, esse problema não representava um perigo — a situação só poderia mudar de figura mesmo caso um cracker obtivesse acesso à rede do usuário (como no caso de conexões públicas).

O iOS 18.2, como sabemos, foi liberado em dezembro, mas a Apple só tornou essa correção pública recentemente em uma página de suporte. Caso você ainda esteja rodando essa versão do sistema e use o Senhas, atualize seu dispositivo o mais rápido possível!