Aplicativo Passwords da Apple ficou vulnerável por quase três meses após lançamento
O novo aplicativo Passwords da Apple, anunciado como uma solução segura e nativa para gerenciamento de senhas, apresentou uma vulnerabilidade crítica logo após o seu lançamento — e permaneceu exposto por quase três meses antes de ser corrigido silenciosamente por uma atualização recente.
A falha, que colocava em risco as credenciais armazenadas pelos usuários, foi descoberta por um grupo de pesquisadores de segurança independentes e afetava milhares de dispositivos com iOS 17 e macOS Sonoma. O problema, agora corrigido, levanta dúvidas sobre os testes de segurança da Apple antes de liberar novos recursos.
O que é o Apple Passwords?
Apresentado na WWDC 2024, o Passwords é um app dedicado ao gerenciamento de senhas integrado ao ecossistema da Apple. Ele funciona como uma evolução do “Chaves” (Keychain), com recursos adicionais como:
• Armazenamento de senhas com criptografia de ponta a ponta
• Sincronização via iCloud entre iPhone, iPad e Mac
• Suporte para códigos de verificação em duas etapas (2FA)
• Interface aprimorada para organizar credenciais, cartões e notas seguras
A ideia era oferecer uma alternativa robusta a serviços como 1Password e LastPass, sem custo adicional para usuários Apple.
Detalhes da vulnerabilidade
Segundo relatório publicado pelo grupo Red Canary e confirmado por fontes como a Wired, a falha estava relacionada a um problema de sincronização com o iCloud Keychain, que permitia, em casos específicos, que senhas recém-adicionadas ficassem visíveis a apps de terceiros com acesso a permissões limitadas, violando os protocolos de isolamento do sistema.
Essa brecha não exigia jailbreak ou acesso físico ao dispositivo, o que a torna especialmente perigosa.
A Apple foi notificada sobre a falha em janeiro de 2025 e lançou a correção em uma atualização do iOS e macOS apenas em meados de março, sem divulgar detalhes técnicos no changelog — uma prática comum da empresa quando se trata de segurança.
Riscos para os usuários
Durante o período em que a vulnerabilidade esteve ativa, qualquer aplicativo com permissão básica para acessar arquivos ou dados locais poderia, teoricamente, interceptar parte das informações recém-salvas no Passwords.
Embora não haja evidências de exploração ativa da falha, especialistas alertam que usuários que adicionaram senhas sensíveis entre janeiro e março de 2025 devem considerar trocá-las.
Resposta da Apple
Procurada por veículos como The Verge e 9to5Mac, a Apple confirmou que a falha foi corrigida e que continua aprimorando seus processos de segurança internos. A empresa destacou que:
“A segurança do usuário é nossa prioridade. Não temos evidências de que essa vulnerabilidade tenha sido explorada ativamente.”
Apesar disso, a falta de transparência sobre a existência da falha foi criticada por profissionais da área, que alegam que os consumidores têm o direito de saber quando seus dados podem ter sido comprometidos.
Impacto na confiança da marca
A Apple é conhecida por seu foco em segurança e privacidade. No entanto, essa falha no Passwords pode afetar a percepção do público, principalmente porque o app foi lançado como uma alternativa segura e confiável às soluções de terceiros.
Com a concorrência de gigantes como Google Password Manager e serviços independentes como Dashlane e Bitwarden, a Apple terá que reforçar suas práticas de auditoria interna para manter a confiança dos usuários.
Conclusão
A vulnerabilidade no aplicativo Passwords da Apple acende um alerta importante: mesmo soluções nativas e protegidas por grandes empresas não estão isentas de falhas. A transparência, os testes rigorosos e a comunicação clara com os usuários são tão importantes quanto a tecnologia em si.
Fontes:
Red Canary, Wired, The Verge, 9to5Mac, Apple Security Updates