Apple ha corregido una vulnerabilidad presente en la aplicación Contraseñas (Passwords) que durante varios meses expuso a los usuarios a ataques de phishing con el objetivo de robar las credenciales de inicio de sesión.
Contraseñas es la aplicación de Apple que permite guardar y gestionar las credenciales y las claves de acceso o passkeys de los servicios digitales del usuario. Se trata de una solución que pretende facilitar el uso de las claves y mantenerlas en un entorno protegido.
Esta aplicación independiente apareció junto a iOS 18 en septiembre y durante tres meses fue vulnerable a los ataques de phishing como consecuencia del fallo de seguridad recogido como CVE-2024-44276, identificado por los investigadores Talal Haj Bakry y Tommy Mysk.
Apple corrigió el fallo con la actualización 18.2, lanzada en diciembre, pero ha sido esta semana cuando ha cerrado el informe de esta vulnerabilidad, como han señalado los investigadores de Mysk este martes en su cuenta de X. Ello ha permitido compartir los detalles.
🚨 Apple's Passwords app was vulnerable to phishing attacks in iOS versions prior to 18.2. Its functionality to change a password from within the app used to open an account's website via insecure HTTP by default. This allowed an attacker with privileged network access to easily… pic.twitter.com/VrqFWSk4z1
— Mysk 🇨🇦🇩🇪 (@mysk_co) March 18, 2025
En su momento, Apple explicó que "un usuario en una posición privilegiada en la red podría filtrar información confidencial", y que lo solucionó "utilizando HTTPS al enviar información a través de la red".
Esto significa que un actor malicioso conectado a la misma red que el usuario de Contraseñas – por ejemplo, en la WiFi abierta de un aeropuerto o una cafetería–, podría redirigir a la víctima a una página fraudulenta, que falsificara otra legítima, para que introdujera las credenciales y robárselas.