Um bug no app Passwords da Apple expôs usuários a ataques de phishing por meses antes de ser corrigido. A falha permitia que invasores interceptassem dados não criptografados, redirecionando usuários para sites falsos e roubando suas credenciais. A vulnerabilidade, descoberta em setembro, foi finalmente corrigida em dezembro com a atualização iOS 18.2.
## Falha de segurança no app Passwords da Apple
A Apple corrigiu uma falha de segurança no seu aplicativo Passwords com a atualização iOS 18.2 de dezembro. Essa falha expôs os usuários a ataques de phishing durante os três meses desde o lançamento do iOS 18. De acordo com uma atualização de segurança da Apple, o aplicativo Passwords estava enviando solicitações não criptografadas para os logotipos e ícones associados às senhas armazenadas dos usuários.
Sem a proteção da criptografia, um invasor na mesma rede Wi-Fi poderia redirecionar o navegador de um usuário para um site de phishing clonado, onde os detalhes de login poderiam ser roubados. A vulnerabilidade foi descoberta pelos pesquisadores de segurança da desenvolvedora Mysk e reportada em setembro.
As notas de lançamento de segurança do iOS 18.2 da Apple descreveram o bug no app Passwords da seguinte forma:
Leia também:
Impacto: Um usuário em uma posição de rede privilegiada pode vazar informações confidenciais.
Descrição: Este problema foi resolvido usando HTTPS ao enviar informações pela rede.
A Apple listou o bug nas atualizações de conteúdo de segurança para Mac, iPad e Vision Pro, indicando que esse problema foi corrigido em vários sistemas operacionais.
A segurança dos nossos dados online é algo muito sério. Recentemente, a Microsoft alertou sobre um novo cavalo de Troia que visa criptomoedas em 20 extensões do Chrome, mostrando que os perigos estão sempre à espreita.
## Detalhes técnicos da vulnerabilidade
O problema residia na forma como o app Passwords solicitava os ícones e logos dos sites. Em vez de usar uma conexão segura (HTTPS), o app enviava essas solicitações sem criptografia. Isso significava que, se um atacante estivesse na mesma rede Wi-Fi que você, ele poderia interceptar essa solicitação e redirecioná-la para um site falso.
Imagine que você está acessando o site do seu banco. O aplicativo Passwords, para te ajudar a identificar o login, busca o logo do banco. O atacante intercepta essa busca e te manda para uma página falsa, idêntica à do seu banco, mas controlada por ele. Ao inserir seus dados nessa página falsa, você estaria entregando suas informações diretamente para o criminoso.
Essa vulnerabilidade era particularmente perigosa porque muitos usuários confiam no app Passwords para armazenar informações confidenciais. A falta de criptografia nas solicitações de ícones abria uma brecha para ataques de phishing em grande escala.
A Apple não deixou de ocultar informações sobre espaço de armazenamento do Apple Intelligence no macOS 15.4, mostrando a importância de manter a transparência sobre as funcionalidades dos seus sistemas.
## Implicações e correção
A exploração dessa vulnerabilidade exigia que o atacante estivesse na mesma rede Wi-Fi que a vítima. Isso significa que redes públicas, como as de cafés e aeroportos, eram os locais mais propícios para esse tipo de ataque. No entanto, mesmo redes domésticas poderiam estar em risco, caso um invasor conseguisse acesso à rede.
Para se proteger, era fundamental manter o sistema operacional sempre atualizado. A Apple lançou a correção para essa vulnerabilidade na versão iOS 18.2, que foi liberada em dezembro. Além disso, é sempre recomendável evitar o uso de redes Wi-Fi públicas para acessar informações confidenciais.
Como alternativa, considere usar uma conexão VPN (Rede Virtual Privada) para criptografar o tráfego da sua internet, mesmo em redes Wi-Fi não seguras. Essa medida adicional dificulta a interceptação de dados por parte de criminosos.
A Apple pode seguir exemplo da Galaxy S25 Edge com bateria do iPhone 17 Air, mostrando que a busca por inovação e segurança é constante no mercado de tecnologia.
## Recomendações de segurança
Para garantir a segurança das suas senhas e informações pessoais, siga estas dicas:
1. Mantenha seus dispositivos sempre atualizados com as últimas versões do sistema operacional e aplicativos.
2. Evite usar redes Wi-Fi públicas para acessar informações confidenciais.
3. Use senhas fortes e diferentes para cada serviço online.
4. Habilite a autenticação de dois fatores sempre que possível.
5. Desconfie de e-mails e mensagens suspeitas que solicitem informações pessoais.
6. Verifique sempre o endereço do site antes de inserir suas credenciais.
7. Considere usar um gerenciador de senhas dedicado, que ofereça recursos adicionais de segurança.
Lembre-se que a segurança online é uma responsabilidade compartilhada. Ao seguir essas dicas e manter-se informado sobre as últimas ameaças, você estará contribuindo para um ambiente digital mais seguro para você e para todos.
Este conteúdo foi auxiliado por Inteligência Artificiado, mas escrito e revisado por um humano.
Via MacRumors
