蘋果密碼應(yīng)用漏洞被披露：黑客可釣魚竊取憑證，iOS 18.2 已修復(fù)

科技媒體 9to5Mac 昨日（3 月 18 日）發(fā)布博文，報道稱安全團隊 Mysk 檢查 iPhone的“App 隱私報告”后發(fā)現(xiàn)，官方獨立應(yīng)用“Passwords”存在 HTTP 協(xié)議漏洞，直至 iOS 18.2 修復(fù)。

IT之家注：蘋果 iOS 18 （2024 年 9 月上線）推出獨立密碼管理應(yīng)用“Passwords”，直至 iOS 18.2（2024 年 12 月上線）修復(fù)，期間受影響時間范圍為 3 個月，用戶面臨釣魚風(fēng)險。

安全團隊表示，Passwords 應(yīng)用曾通過不安全的 HTTP 協(xié)議與 130 個網(wǎng)站通信，包括獲取賬戶圖標和默認打開密碼重置頁面。研究人員指出用戶連接公共 WiFi 后，黑客可以截獲 Passwords 發(fā)送的初始 HTTP 請求。

然后將用戶重定向至仿冒的釣魚頁面（如偽造微軟的 live.com），用戶輸入密碼后，攻擊者可直接獲取憑證并發(fā)動進一步攻擊。蘋果在 iOS 18.2 此前版本中，未強制使用加密的 HTTPS 協(xié)議，且未提供關(guān)閉圖標下載的選項，導(dǎo)致應(yīng)用頻繁向網(wǎng)站發(fā)送請求。

蘋果在 2024 年 12 月發(fā)布的 iOS 18.2 更新中，并在 3 月 17 日更新日志，已經(jīng)修復(fù)了 Passwords 應(yīng)用的該漏洞，默認使用加密協(xié)議，避免未受保護的 HTTP 連接。