Falha no Passwords da Apple deixava falsificar icons ou crashar a app

A Apple corrigiu, no iOS 18.2, uma vulnerabilidade na app Passwords que permitia alguns ataques criativos.

A app Passwords é a app de gestão de passwords da Apple, que facilita a gestão das passwords que anteriormente eram guardadas no iCloud Keychain. Apesar de ser considerada uma ferramenta segura, a app continha uma vulnerabilidade básica, que só agora foi corrigida (CVE-2024-54492).

Quando se cria o registo de uma nova password, a app tentava obter o icon associado ao serviço. A falha é que isso estava a ser feito usando uma ligação http comum (em vez de https) o que permitia a sua intercepção e manipulação. Isto fazia com que, numa rede comprometida, um atacante pudesse direccionar o pedido para um conteúdo diferente, como um icon diferente, ou potencialmente conteúdos maliciosos. Num dos exemplos, em vez de um icon, esta operação era direccionada para descarregar mais de 5 GB do Ubuntu, fazendo com que a app crashasse ao fim de alguns minutos a gastar gigabytes de dados.

Since iOS 18 launched, the new Passwords app has been using unencrypted HTTP to download icons for password entries—a potential #security risk. We reported this bug to #Apple in September, and it’s finally fixed in #iOS 18.2 (CVE-2024-54492). Why does this matter? Watch 🎬 : pic.twitter.com/BkajmbkkER

— Mysk 🇨🇦🇩🇪 (@mysk_co) December 11, 2024

Estamos a falar de uma app que, implicitamente, é de "alta-segurança", e que nos chega de uma das empresas tecnológicas mais poderosas do mundo. Se mesmo assim a app pode ter uma vulnerabilidade básica, que tipo de coisa se pode esperar que esteja a ser feita por startups que potencialmente se limitam a fazer copy-paste de código fornecido pelo ChatGPT ou outro assistente AI? Bem, uma coisa é certa: não irá haver falta de trabalho no mundo da segurança digital, quer seja a descobrir e corrigir erros feitos por humanos, ou pelos assistentes AI. :)