新密碼應用程序中的漏洞(“密碼”),iOS 18更新,是由安全研究人員發現的麝香。正如研究人員向我們的同事們解釋的那樣9to5mac,缺點使iPhone的用戶容易受到網絡釣魚攻擊的影響。
敏感的Apple應用程序上的HTTP請求
最初,專家意識到Apple的應用程序已發送無抵押的HTTP請求獲取130個網站的徽標和圖標。這些元素用於說明與您記錄的密碼相關的網站。默認情況下,密碼重置頁面還使用HTTP。
由於沒有特別的原因,Apple不希望強制使用該應用程序的HTTP,比HTTP更安全。 HTTP協議在沒有加密的情況下傳輸清晰的文本數據,這為網絡攻擊打開了大門。相反,HTTPS標準基於使用SSL/TLS協議的加密數據。
“我們很驚訝蘋果沒有將默認的HTTP應用於這種敏感的應用程序。此外,Apple應該為安全用戶提供一個選項,以完全停用圖標下載。我對我的密碼經理不滿意,密碼經理不斷將ping發送到我維護密碼的每個網站”,總結Mysk的研究人員,對Apple選擇的方法感到驚訝。
這些無抵押請求可以是連接到同一Wi-Fi網絡的人攔截目標的iPhone。最終,他可以“將用戶重定向到網站網站”。然後,這個惡意網站可以請求用戶的個人數據,包括標識符和密碼。研究人員以模仿Microsoft官方網站的網絡釣魚頁面為例。確信在Microsoft網站上,該目標可以輸入鏈接到其帳戶的標識符以連接到它。該故障為通過公共Wi-Fi(例如機場,咖啡,餐廳或酒店的公共Wi-Fi)打開了大門。
另請閱讀:巴黎公共Wi-Fi的25%是危險
蘋果用iOS 18.2糾正鏡頭
在Mysk研究人員的警告下,Apple糾正了脆弱性。 Cupertino巨頭已在iOS 18.2更新中進行了更正。在兒子網站,蘋果承認“網絡特權位置的用戶可能能夠披露敏感信息”通過利用故障。該小組還喚起了一個第二個缺陷,鏈接到第一個,這將允許“在網絡特權位置處於特權位置的攻擊者”的“修改網絡流量”。
故障在持續三個月在iOS 18的部署與iOS 18.2的到來之間。蘋果補充說“發送網絡信息時使用HTTPS解決問題”。通過避免無抵押的HTTP請求,Apple可以防止可能的前鋒攔截通信。請注意,蘋果已糾正了錯誤iOS 18.2,於去年1月部署,但剛剛就此主題進行了溝通。
來源 : 9to5mac
