O aplicativo Passwords foi introduzido com o iOS 18 como uma central onde os usuários podem guardar as suas senhas e sincronizá-las entre dispositivos diferentes. Entretanto, pesquisadores da Mysk, uma empresa especializada em segurança online, descobriram que uma vulnerabilidade no Passwords expôs os dados de milhões de pessoas a ataques de hackers.

A pista sobre a falha de segurança foi encontrada no Relatório de Privacidade de Aplicativos do iPhone publicado pela própria Apple, onde é mencionado que o Passwords usou tráfego HTTP inseguro para se comunicar com 130 sites. A vulnerabilidade foi reconhecida pela própria Apple em um relatório de segurança publicado hoje.

'Isso deixou o usuário vulnerável: um invasor com acesso privilegiado à rede poderia interceptar a solicitação HTTP e redirecionar o usuário para um site de phishing,' disse a Mysk em um relatório ao 9to5Mac.

O problema é que o Passwords usou este tipo de conexão para fornecer ícones de sites e redefinição de senha aos usuários, o que permitiu que hackers interceptassem o tráfego e inserissem páginas falsas para roubar logins e senhas.

A empresa de cibersegurança até publicou um vídeo no seu canal oficial no YouTube, demonstrando como hackers podem interceptar a conexão para aplicar ataques de phishing:

No vídeo acima, a Mysk mostra como é possível redirecionar o tráfego do Apple Passwords para uma página falsa de phishing, um método de ataque que rouba dados do usuário. Na demonstração, a Mysk adicionou propositalmente um banner indicando que o site é falso, o que obviamente não é feito por criminosos.

A Mysk expressou a sua preocupação e decepção com uma falha de segurança tão grande em um aplicativo utilizado por milhões de pessoas em todo o mundo, pois a Apple promove o uso da ferramenta em todos os seus dispositivos:

Ficamos surpresos que a Apple não tenha imposto HTTPS por padrão para um aplicativo tão sensível. Além disso, a Apple deve fornecer uma opção para usuários preocupados com a segurança desativarem completamente o download de ícones. Não me sinto confortável com meu gerenciador de senhas constantemente fazendo ping em cada site para o qual mantenho uma senha, mesmo que as chamadas enviadas pelo Passwords não contenham nenhum ID.

A empresa ressalta que a interceptação tem um único requisito para acontecer: o invasor precisa estar conectado à mesma rede WiFi que a vítima, o que pode facilmente acontecer em redes públicas, como de aeroportos e cafeterias.

Felizmente, a falha de segurança foi corrigida com o iOS 18.2 em dezembro, quase três meses após do lançamento do Passwords, com as notas de segurança sendo lançadas somente agora pela Apple.