Per quasi tre mesi, l’app Passwords di Apple ha esposto gli utenti a possibili attacchi informatici a causa di un errore legato all’uso di connessioni non sicure. La vulnerabilità, scoperta dal team di ricerca Mysk, ha rivelato che l’app utilizzava HTTP anziché HTTPS per collegarsi ai siti web, aprendo la porta a possibili attacchi di phishing.
Questo problema ha riguardato circa 130 siti web e ha messo a rischio le credenziali degli utenti fino a quando Apple non ha rilasciato un aggiornamento correttivo con iOS 18.2 a dicembre 2024.
Un rischio concreto per chi usa reti pubbliche
L’app Passwords è stata introdotta con iOS 18 come evoluzione del Portachiavi di Apple, con l’obiettivo di semplificare la gestione delle credenziali. Tuttavia, il suo utilizzo di connessioni HTTP non cifrate ha rappresentato un grosso problema di sicurezza.
“Un hacker con accesso alla rete potrebbe intercettare le richieste HTTP e reindirizzare l’utente su una pagina di phishing per rubare le credenziali”, ha spiegato Mysk.
Gli esperti hanno dimostrato che, in contesti come Wi-Fi pubblici, aeroporti o hotel, un attaccante poteva facilmente modificare il traffico web e spingere la vittima a inserire i propri dati su un sito falso, come una replica di Live.com di Microsoft o di altri servizi popolari.
Apple ha risolto il problema, ma solo dopo mesi
La vulnerabilità è stata risolta con iOS 18.2, anche se Apple non ne ha parlato pubblicamente fino a oggi. Con questo aggiornamento, l’azienda ha finalmente forzato l’uso esclusivo di HTTPS per tutte le connessioni effettuate dall’app Passwords, evitando che i dati degli utenti possano essere intercettati.
Mysk ha criticato Apple per non aver adottato fin da subito questa misura di sicurezza e per non aver dato la possibilità agli utenti di disattivare il download automatico delle icone dei siti.
“Non mi sento a mio agio con un gestore di password che contatta costantemente ogni sito per cui ho credenziali salvate”, ha commentato il ricercatore.
Cosa fare per proteggersi
Per ridurre i rischi, gli utenti di iPhone e iPad dovrebbero:
- Aggiornare immediatamente a iOS 18.2 o versioni successive, se non lo hanno ancora fatto;
- Evitare di utilizzare reti Wi-Fi pubbliche senza una VPN, soprattutto quando si accede a servizi sensibili;
- Attivare l’autenticazione a due fattori per proteggere i propri account anche in caso di furto delle credenziali.
Questa vicenda dimostra ancora una volta quanto sia importante mantenere i propri dispositivi sempre aggiornati e prestare attenzione a eventuali falle di sicurezza, anche nei servizi più affidabili.
