La app “Contraseñas” de Apple fue vulnerable durante tres meses al robo de credenciales
Apple informó que corrigió una vulnerabilidad en la aplicación “Contraseñas” (Passwords) que durante varios meses expuso a los usuarios a ataques de phishing con el objetivo de robar las credenciales de inicio de sesión.
“Contraseñas” es la aplicación de Apple que permite guardar y gestionar las credenciales y las claves de acceso o passkeys de los servicios digitales del usuario. Se trata de una solución que pretende facilitar el uso de las claves y mantenerlas en un entorno protegido.
Esta aplicación independiente apareció junto a iOS 18 en septiembre y durante tres meses fue vulnerable a los ataques de phishing como consecuencia del fallo de seguridad recogido como CVE-2024-44276, identificado por los investigadores Talal Haj Bakry y Tommy Mysk.
Apple corrigió el fallo con la actualización 18.2, lanzada en diciembre, pero ha sido esta semana cuando ha cerrado el informe de esta vulnerabilidad, como han señalado los investigadores de Mysk este martes en su cuenta de X. Ello ha permitido compartir los detalles.
[TE RECOMENDAMOS: Revelan estafas por el lanzamiento del iPhone 16… ¡no caigas en ofertas falsas!]
En su momento, Apple explicó que “un usuario en una posición privilegiada en la red podría filtrar información confidencial”, y que lo solucionó “utilizando HTTPS al enviar información a través de la red“.
Esto significa que un actor malicioso conectado a la misma red que el usuario de “Contraseñas”, por ejemplo, en la WiFi abierta de un aeropuerto o una cafetería, podría redirigir a la víctima a una página fraudulenta, que falsificara otra legítima, para que introdujera las credenciales y robárselas.
