蘋(píng)果密碼應(yīng)用漏洞被披露：黑客可釣魚(yú)竊取憑證，iOS 18.2 已修復(fù)

科技媒體 9to5Mac 昨日（3 月 18 日）發(fā)布博文，報(bào)道稱(chēng)安全團(tuán)隊(duì) Mysk 檢查 iPhone的“App 隱私報(bào)告”后發(fā)現(xiàn)，官方獨(dú)立應(yīng)用“Passwords”存在 HTTP 協(xié)議漏洞，直至 iOS 18.2 修復(fù)。

IT之家注：蘋(píng)果 iOS 18 （2024 年 9 月上線）推出獨(dú)立密碼管理應(yīng)用“Passwords”，直至 iOS 18.2（2024 年 12 月上線）修復(fù)，期間受影響時(shí)間范圍為 3 個(gè)月，用戶(hù)面臨釣魚(yú)風(fēng)險(xiǎn)。

安全團(tuán)隊(duì)表示，Passwords 應(yīng)用曾通過(guò)不安全的 HTTP 協(xié)議與 130 個(gè)網(wǎng)站通信，包括獲取賬戶(hù)圖標(biāo)和默認(rèn)打開(kāi)密碼重置頁(yè)面。研究人員指出用戶(hù)連接公共 WiFi 后，黑客可以截獲 Passwords 發(fā)送的初始 HTTP 請(qǐng)求。

然后將用戶(hù)重定向至仿冒的釣魚(yú)頁(yè)面（如偽造微軟的 live.com），用戶(hù)輸入密碼后，攻擊者可直接獲取憑證并發(fā)動(dòng)進(jìn)一步攻擊。蘋(píng)果在 iOS 18.2 此前版本中，未強(qiáng)制使用加密的 HTTPS 協(xié)議，且未提供關(guān)閉圖標(biāo)下載的選項(xiàng)，導(dǎo)致應(yīng)用頻繁向網(wǎng)站發(fā)送請(qǐng)求。

蘋(píng)果在 2024 年 12 月發(fā)布的 iOS 18.2 更新中，并在 3 月 17 日更新日志，已經(jīng)修復(fù)了 Passwords 應(yīng)用的該漏洞，默認(rèn)使用加密協(xié)議，避免未受保護(hù)的 HTTP 連接。