Los usuarios de iPhone fueron vulnerables a ataques 'phishing' durante años por un fallo en el servicio de contraseñas

Que Apple tiene una importantísima fijación con la seguridad no es un misterio para nadie. Desde hace años, la firma profesa en España y en todo el mundo una serie de estándares de privacidad y seguridad que aplica de forma férrea, ya sea blindando las piezas de los iPhone para evitar robos o reforzando la protección online de niños y adolescentes. No obstante, se acaba de descubrir un fallo que afectó a la aplicación Contraseñas de Apple, exponiendo credenciales durante años.

Así lo revelan tanto el dúo de investigadores y desarrolladores de iOS apodados Mysk como el medio 9to5Mac, que habían descubierto un problema de seguridad HTTP en la aplicación, prácticamente desde su lanzamiento como servicio en iOS 14, pasando por su lanzamiento como app independiente en iOS 18 hasta iOS 18.2. Este problema habría dejado las contraseñas de los usuarios del servicio desprotegidos ante ataques phishing en todo este tiempo, redirigiendo las solicitudes HTTP y redirigiéndolas a sitios web maliciosos.

La app Contraseñas en cuestión estaba enviando solicitudes no cifradas para los logotipos e iconos asociados con las contraseñas almacenadas de los usuarios. Un atacante que estuviera en la misma red WiFi y que tuviera acceso privilegiado a la red podría redirigir el tráfico de un usuario a un sitio phishing donde se podrían robar los datos de inicios de sesión. Eso sí, Apple acabó por solucionar este fallo en 18.2.

Problema en la app de Contraseñas

Los investigadores de Mysk revelan la falla en un vídeo de escasos 50 segundos, en el que se puede ver el problema siendo 'activado'. La clave está en la función para cambiar una contraseña vulnerable desde la app; desde su lanzamiento, Contraseñas advierte al usuario sobre las contraseñas vulneradas o demasiado fáciles de adivinar, ofreciendo la posibilidad al usuario de cambiarla.

Es aquí donde la app permite acceder al sitio web para cambiar contraseñas a través de un protocolo HTTP inseguro. "Esto permitía a un atacante con acceso privilegiado a la red interceptar y redirigir fácilmente las solicitudes a un sitio web de phishing", exponen los desarrolladores. Contraseñas hace una solicitud HTTP para abrir el enlace, sin usar HTTPS encriptados. Un usuario con privilegios en una red maliciosa puede redirigir estas solicitudes para enviar a la víctima a una página web falsa, con la que robarle los datos de inicio de sesión.

El problema se originó, según 9to5Mac, desde el lanzamiento de Contraseñas como app independiente en iOS 18, y se solucionó en la actualización de iOS 18.2. Mysk denuncia que Apple borró recientemente el informe de seguridad, lo que les impidió hablar sobre este fallo con anterioridad. Por si fuera poco, no se llevarán ninguna recompensa por el descubrimiento de este fallo, según Apple, por no cumplir "con los criterios de impacto" o por no entrar "en ninguna de las categorías elegibles".

Además de todo ello, el dúo de desarrolladores hace una corrección: este fallo no habría estado presente desde hace meses, sino años. "Contraseñas de Apple había estado usando HTTP inseguros de manera predeterminada desde que se introdujo la función para detectar contraseñas comprometidas en iOS 14. La app dedicada a Contraseñas en iOS 18 era esencialmente un reempaquetado del antiguo administrador de contraseñas que estaba en Configuración, y que conservaba todos sus errores", relatan desde X (antes Twitter).

Chema Flores Omicrono

[Apple blinda tu iPhone contra robos: un ladrón no podrá restaurar el teléfono aunque se sepa tu clave]

Si los desarrolladores pudieron descubrir el problema, fue después de revisar el Informe de Privacidad que el iPhone de uno de los miembros del dúo les otorgó. En ese informe, los de Mysk pudieron descubrir que Contraseñas había contactado con 130 sitios webs diferentes mediante el tráfico con protocolo HTTP inseguro. Así, descubrieron que la app no solo obtenía los íconos y logotipos de las cuentas mediante HTTP, sino que abría las páginas de restablecimiento de contraseña usaban este mismo estándar. 

Esto, a ojos de Mysk, era bastante poco usual. "Nos sorprendió que Apple no implementara HTTPS por defecto para una app tan sensible. Además, Apple debería ofrecer una opción para que los usuarios preocupados por la seguridad desactiven por completo la descarga de iconos", explican los developers. "No me siento cómodo con que mi administrador de contraseñas esté constantemente haciendo ping a cada sitio web para el que mantengo una contraseña, aunque las solicitudes que envía Contraseñas no incluyan ningún ID".

Así logrará Apple mantener privados los datos de la IA de sus usuarios: una caja negra virtual blindada de hackers

Cabe aclarar que la mayoría de sitios web de hoy en día permiten conexiones HTTP no cifradas, aunque en la mayoría de ocasiones redirigen automáticamente estas conexiones a HTTPs mediante redirecciones 301. Contraseñas ya realizaba estas solicitudes a través de HTTP, lo que llevaba a esta redirección segura a HTTPS. En las circunstancias más habituales, esto no supondría ningún problema, ya que los cambios de contraseña se realizan en una página cifrada.

El problema radica cuando se usan redes públicas, fácilmente hackeables y que en muchos casos, están dominadas por atacantes. Estos pueden interceptar las solicitudes HTTP iniciales antes de que estas se redirigan, manipulando el tráfico y llevando a la víctima a una página web maliciosa que imite la del desarrollador de software. Por ejemplo, si el usuario quiere cambiar la contraseña de su cuenta de Microsoft y el atacante intercepta su solicitud, puede llevarle a una web copiada de la de Microsoft y hacerse con sus credenciales de inicio de sesión.