本站 3 月 19 日消息,科技媒体 9to5Mac 昨日(3 月 18 日)发布博文,报道称安全团队 Mysk 检查 iPhone 的“App 隐私报告”后发现,官方独立应用“Passwords”存在 HTTP 协议漏洞,直至 iOS 18.2 修复。
本站注:苹果 iOS 18 (2024年 9月上线)推出独立密码管理应用“Passwords”,直至 iOS 18.2(2024年 12月上线)修复,期间受影响时间范围为 3个月,用户面临钓鱼风险。
安全团队表示,Passwords 应用曾通过不安全的 HTTP 协议与 130 个网站通信,包括获取账户图标和默认打开密码重置页面。研究人员指出用户连接公共 WiFi 后,黑客可以截获 Passwords 发送的初始 HTTP 请求。
然后将用户重定向至仿冒的钓鱼页面(如伪造微软的 live.com),用户输入密码后,攻击者可直接获取凭证并发动进一步攻击。苹果在 iOS 18.2 此前版本中,未强制使用加密的 HTTPS 协议,且未提供关闭图标下载的选项,导致应用频繁向网站发送请求。
苹果在 2024 年 12 月发布的 iOS 18.2 更新中,并在3 月 17 日更新日志,已经修复了 Passwords 应用的该漏洞,默认使用加密协议,避免未受保护的 HTTP 连接。
