Apple ha recentemente corretto una vulnerabilità di sicurezza particolarmente insidiosa, che avrebbe potuto esporre le password degli utenti a sofisticati attacchi di phishing; il problema, che è stato risolto con l’aggiornamento software iOS 18.2, riguardava un exploit che consentiva agli aggressori di ingannare gli utenti che utilizzavano la nuova app Password, facendogli credere di essere all’interno di un ambiente sicuro di Apple, quando in realtà stavano fornendo le proprie credenziali a malintenzionati.

L’app Password di Apple colpita da una vulnerabilità per circa tre mesi

Il bug, ora corretto, permetteva agli hacker di sfruttare una falla nell’app Password di Apple (introdotta con iOS 18) che si basava sul protocollo HTTP meno sicuro, e non su HTTPS, per creare pagine di accesso fraudolente che risultavano indistinguibili da quelle ufficiali; in altre parole, gli utenti avrebbero potuto inserire inconsapevolmente le proprie credenziali in un’interfaccia apparentemente legittima, senza rendersi conto di essere vittime di un attacco di phishing.

Questo tipo di vulnerabilità è particolarmente pericoloso perché non si basa su un malware da installare o su un file dannoso da scaricare, ma sfrutta un aspetto dell’interfaccia utente che gli utenti considerano sicuro e affidabile. Una volta in possesso delle credenziali, gli attaccanti avrebbero potuto accedere ad account iCloud, dati sensibili e persino compromettere ulteriormente la sicurezza degli utenti attraverso altri servizi Apple collegati.

I ricercatori di sicurezza di Mysk, che hanno scoperto la falla per la prima volta, hanno commentato:

Siamo rimasti sorpresi dal fatto che Apple non abbia imposto HTTPS di default per un’app così sensibile. Inoltre, Apple dovrebbe fornire un’opzione per gli utenti attenti alla sicurezza per disabilitare completamente il download delle icone. Non mi sento a mio agio con il mio gestore di password che invia costantemente un ping a ogni sito web per cui ho una password, anche se le chiamate inviate da Passwords non contengono alcun ID.

Come menzionato in apertura, Apple ha rilasciato un aggiornamento correttivo per eliminare questa falla nel mese di dicembre, menzionandola espressamente solo nelle ultime ore, sottolineando ancora una volta quanto sia cruciale mantenere i propri dispositivi sempre aggiornati; spesso e volentieri infatti, le vulnerabilità vengono scoperte solo dopo che sono state già sfruttate da attori malevoli, e gli aggiornamenti software rappresentano la prima linea di difesa contro queste minacce.

Nonostante la patch rilasciata da Apple, è sempre buona norma adottare alcune precauzioni per evitare di cadere vittima di attacchi di phishing:

Verificare sempre l’URL prima di inserire le proprie credenziali, assicurarsi che l’indirizzo web sia effettivamente quello ufficiale di Apple e che sia presente il lucchetto della connessione sicura.

Attivare l’autenticazione a due fattori, un ulteriore livello di sicurezza che impedisce l’accesso non autorizzato anche in caso di furto delle credenziali.

Diffidare di email e messaggi sospetti, Apple non chiede mai di inserire le credenziali tramite email o SMS; in caso di dubbi, è meglio contattare direttamente il supporto Apple.

Gli utenti di dispositivi Apple sono dunque invitati a verificare di avere installato l’ultima versione di iOS, la 18.2, così da garantire la massima protezione possibile.