Apple ha comunicato recentemente di aver corretto una grave vulnerabilità presente nell’app Passwords e segnalata da due ricercatori di sicurezza (Talal Haj Bakry e Tommy Mysk). Il bug consentiva di intercettare il traffico di rete e rubare dati sensibili.
Invio dati in chiaro
La vulnerabilità CVE-2024-44276 era presente nell’app Passwords installata su iOS e iPadOS. Apple scrive nella pagina di supporto che “un utente in posizione di rete privilegiata potrebbe intercettare informazioni sensibili“. La patch è stata inclusa in iOS/iPadOS 18.2 l’11 dicembre 2024, ma solo tre giorni fa è stata confermata l’esistenza del bug.
Come di intuisce dal nome, l’app Passwords è il password manager di Apple. Prima del lancio di iOS/iPadOS 18 era integrato nelle impostazioni, mentre ora è un’app separata. Il codice è quindi lo stesso, ereditando anche eventuali bug. Molti siti scrivono che la vulnerabilità era presente da tre mesi. I due ricercatori hanno specificato che il problema esisteva da iOS 14, ovvero quando Apple ha introdotto la funzionalità che consente di rilevare le password compromesse.
In tal caso, l’utente può aprire la pagina web dell’account e cambiare la password. Purtroppo veniva inviata una richiesta HTTP, quindi era possibile intercettare il traffico (ad esempio tramite una rete Wi-Fi pubblica) e reindirizzare l’utente verso un sito di phishing, in cui l’ignara vittima inseriva la nuova password.
Gli stessi ricercatori avevano segnalato una simile vulnerabilità, indicata con CVE-2024-54492, corretta in iOS/iPadOS 18.2, iPadOS 17.7.3, macOS Sequoia 15.2 e visionOS 2.2. In questo caso, il traffico in chiaro riguarda il download delle icone visualizzate nell’app.
Ti potrebbe interessare
20 mar 2025