La app Contraseñas de Apple fue vulnerable durante tres meses a los ataques de 'phishing' para el robo de credenciales

Contraseñas es la aplicación de Apple que permite guardar y gestionar las credenciales y las claves de acceso o 'passkeys' de los servicios digitales del usuario. Se trata de una solución que pretende facilitar el uso de las claves y mantenerlas en un entorno protegido.

Esta aplicación independiente apareció junto a iOS 18 en septiembre y durante tres meses fue vulnerable a los ataques de 'phishing' como consecuencia del fallo de seguridad recogido como CVE-2024-44276, identificado por los investigadores Talal Haj Bakry y Tommy Mysk.

Apple corrigió el fallo con la actualización 18.2, lanzada en diciembre, pero ha sido esta semana cuando ha cerrado el informe de esta vulnerabilidad, como han señalado los investigadores de Mysk este martes en su cuenta de X. Ello ha permitido compartir los detalles.

En su momento, Apple explicó que «un usuario en una posición privilegiada en la red podría filtrar información confidencial», y que lo solucionó «utilizando HTTPS al enviar información a través de la red».

Esto significa que un actor malicioso conectado a la misma red que el usuario de Contraseñas -por ejemplo, en la WiFi abierta de un aeropuerto o una cafetería-, podría redirigir a la víctima a una página fraudulenta, que falsificara otra legítima, para que introdujera las credenciales y robárselas.