Una vulnerabilità critica nell'app Passwords ha esposto milioni di utenti
Per quasi tre mesi, una falla di sicurezza nell’app Passwords di Apple ha esposto gli utenti a potenziali attacchi informatici. La vulnerabilità, scoperta dal team di ricerca Mysk, derivava dall’utilizzo del protocollo HTTP anziché HTTPS, una svista che ha aperto la porta ad attacchi di phishing e intercettazioni di dati.
Apple ha risolto il problema solo con il rilascio di iOS 18.2 a dicembre 2024, ma nel frattempo milioni di utenti sono stati potenzialmente esposti a rischi elevati, specialmente quando utilizzavano connessioni Wi-Fi pubbliche.
Cosa è successo e quali sono stati i rischi
L’app Passwords, introdotta con iOS 18 come evoluzione del Portachiavi Apple, ha lo scopo di semplificare la gestione delle credenziali degli utenti, fornendo un accesso sicuro alle password salvate.
Tuttavia, gli esperti di Mysk hanno scoperto che l’app utilizzava il protocollo HTTP non cifrato per collegarsi ai siti web e scaricare le relative icone. Questo significa che le informazioni trasmesse erano vulnerabili ad attacchi man-in-the-middle (MITM), in cui un hacker presente sulla stessa rete poteva intercettare e manipolare il traffico tra l’utente e il sito web.
Attacchi di phishing e intercettazione dati
Uno scenario particolarmente pericoloso si verificava quando un utente utilizzava Passwords su una rete Wi-Fi pubblica in luoghi come:
Aeroporti
Hotel
Bar e ristoranti
Università e biblioteche
Un attaccante poteva sfruttare la connessione non sicura per reindirizzare l’utente su una pagina di phishing che imitava perfettamente il sito legittimo (come Live.com di Microsoft o altri servizi popolari), inducendolo a inserire le proprie credenziali, che venivano poi rubate.
Secondo Mysk, la vulnerabilità ha interessato oltre 130 siti web, esponendo potenzialmente milioni di account a rischio.
Apple ha risolto il problema solo dopo mesi
La falla è stata scoperta nel settembre 2024 e segnalata immediatamente ad Apple. Tuttavia, l’azienda ha impiegato diversi mesi prima di implementare una correzione definitiva.
Solo con il rilascio di iOS 18.2 a dicembre 2024, Apple ha forzato l’uso esclusivo del protocollo HTTPS per tutte le connessioni effettuate dall’app Passwords, eliminando così il rischio di intercettazioni e attacchi di phishing.
Nonostante la correzione, gli esperti di sicurezza hanno criticato Apple per non aver affrontato il problema con maggiore urgenza. Mysk ha sottolineato che la società avrebbe dovuto implementare l’uso di HTTPS fin dall’inizio e offrire agli utenti la possibilità di disattivare il download automatico delle icone.
Come proteggersi: consigli per gli utenti Apple
Se utilizzi un dispositivo Apple con l’app Passwords, ecco alcune azioni che puoi intraprendere per proteggere le tue credenziali:
✅ Aggiorna subito il tuo iPhone o iPad a iOS 18.2 o successivo per assicurarti che la vulnerabilità sia stata corretta.
✅ Evita di connetterti a reti Wi-Fi pubbliche non protette, specialmente se devi accedere a servizi sensibili come home banking o e-mail aziendali.
✅ Utilizza una VPN affidabile per crittografare il traffico di rete quando sei connesso a reti pubbliche.
✅ Attiva l’autenticazione a due fattori (2FA) su tutti gli account importanti per una protezione aggiuntiva.
✅ Monitora eventuali accessi sospetti ai tuoi account e, in caso di dubbi, modifica immediatamente le password compromesse.
Conclusione: una lezione di sicurezza per Apple e gli utenti
Questo incidente evidenzia ancora una volta l’importanza di mantenere i dispositivi aggiornati e di adottare buone pratiche di sicurezza informatica. Anche le aziende più affidabili possono commettere errori, ed è fondamentale che gli utenti siano consapevoli dei rischi e delle soluzioni per proteggere i propri dati personali.
Apple ha finalmente risolto il problema, ma il ritardo nella risposta dimostra che la sicurezza informatica deve sempre essere una priorità assoluta, soprattutto quando si tratta della gestione delle password.
