มีการค้นพบข้อบกพร่องในแอปพลิเคชันรหัสผ่าน iPhone ช่วยให้ผู้โจมตีสามารถสกัดกั้นคำขอที่ไม่มีหลักประกันที่ส่งโดยแอปพลิเคชันเพื่อเปลี่ยนเส้นทางผู้ใช้ในหน้าฟิชชิ่งที่เป็นอันตราย หลังจากสามเดือนในที่สุด Apple ก็แก้ไขข้อผิดพลาด
ช่องโหว่ในแอปพลิเคชันรหัสผ่านใหม่ ("รหัสผ่าน") เปิดตัวด้วยการอัปเดต iOS 18ถูกค้นพบโดยนักวิจัยด้านความปลอดภัยของมัสค์- ในขณะที่นักวิจัยอธิบายให้เพื่อนร่วมงานของเรา9to5macข้อบกพร่องทำให้ผู้ใช้ iPhoneเสี่ยงต่อการโจมตีฟิชชิ่ง
คำขอ http ในแอปพลิเคชัน Apple ที่ละเอียดอ่อน
ในตอนแรกผู้เชี่ยวชาญตระหนักว่าแอปพลิเคชันของ Apple ส่งคำขอ HTTP ที่ไม่มีหลักประกันเพื่อรับโลโก้และไอคอนของเว็บไซต์ 130 แห่ง องค์ประกอบเหล่านี้ใช้เพื่อแสดงเว็บไซต์ที่เกี่ยวข้องกับรหัสผ่านที่บันทึกไว้ของคุณ โดยค่าเริ่มต้นหน้ารีเซ็ตรหัสผ่านยังใช้ HTTP
โดยไม่มีเหตุผลเฉพาะแอปเปิ้ลไม่ต้องการบังคับให้ใช้ HTTPS ปลอดภัยกว่า HTTP บนแอพ โปรโตคอล HTTP ส่งข้อมูลข้อความที่ชัดเจนโดยไม่ต้องเข้ารหัสซึ่งเปิดประตูเปิดให้เข้าสู่การโจมตีทางไซเบอร์ ในทางกลับกันมาตรฐาน HTTPS จะขึ้นอยู่กับข้อมูลที่เข้ารหัสโดยใช้โปรโตคอล SSL/TLS
“ เรารู้สึกประหลาดใจที่ Apple ไม่ได้ใช้ HTTPS เริ่มต้นสำหรับแอปพลิเคชันที่ละเอียดอ่อนดังกล่าว นอกจากนี้ Apple ควรเสนอตัวเลือกให้กับผู้ใช้ด้านความปลอดภัยเพื่อปิดการดาวน์โหลดไอคอนอย่างสมบูรณ์ ฉันไม่รู้สึกสบายใจกับผู้จัดการรหัสผ่านของฉันที่ส่ง ping ไปยังแต่ละเว็บไซต์ที่ฉันเก็บรหัสผ่านไว้ตลอดเวลา”สรุปนักวิจัยของ Mysk ประหลาดใจด้วยวิธีการที่ Apple เลือก
คำขอที่ไม่มีหลักประกันเหล่านี้สามารถทำได้ดักโดยบุคคลที่เชื่อมต่อกับเครือข่าย Wi-Fi เดียวกันนั่นคือ iPhone ของเป้าหมาย ในที่สุดเขาก็ทำได้"เปลี่ยนเส้นทางผู้ใช้ไปยังเว็บไซต์ฟิชชิ่ง"- เว็บไซต์ที่เป็นอันตรายนี้สามารถขอข้อมูลส่วนบุคคลของผู้ใช้รวมถึงตัวระบุและรหัสผ่าน นักวิจัยนำตัวอย่างของหน้าฟิชชิ่งเลียนแบบเว็บไซต์ Microsoft อย่างเป็นทางการ เชื่อว่าจะอยู่ในเว็บไซต์ Microsoft เป้าหมายสามารถป้อนตัวระบุที่เชื่อมโยงกับบัญชีเพื่อเชื่อมต่อกับมัน ความผิดพลาดเปิดประตูสู่การโจมตีที่มีประสิทธิภาพมากผ่าน Wi-Fi สาธารณะเช่นสนามบินกาแฟร้านอาหารหรือโรงแรม
อ่านเพิ่มเติม:25% ของ Wi-Fi สาธารณะในปารีสเป็นอันตราย
Apple แก้ไขภาพด้วย iOS 18.2
Apple ได้รับการแจ้งเตือนจากนักวิจัย MySK ได้แก้ไขช่องโหว่ ยักษ์ Cupertino ได้รวมการแก้ไขในการอัปเดต iOS 18.2 บนไซต์ลูกชายแอปเปิ้ลยอมรับว่าก"ผู้ใช้ในตำแหน่งที่ได้รับการยกเว้นของเครือข่ายอาจสามารถเปิดเผยข้อมูลที่ละเอียดอ่อนได้"โดยการใช้ประโยชน์จากความผิด กลุ่มยังกระตุ้นกข้อบกพร่องที่สองเชื่อมโยงกับครั้งแรกซึ่งจะอนุญาต"ผู้โจมตีในตำแหน่งที่ได้รับสิทธิพิเศษของเครือข่าย"ของ"แก้ไขทราฟฟิกเครือข่าย"-
ความผิดยังคงอ้าปากค้างในระหว่างระยะเวลาสามเดือนระหว่างการปรับใช้ iOS 18 และการมาถึงของ iOS 18.2 Apple กล่าวเสริมว่าสิ่งนี้"ปัญหาได้รับการแก้ไขโดยใช้ HTTPS เมื่อส่งข้อมูลเครือข่าย"- ด้วยการหลีกเลี่ยงคำขอ HTTP ที่ไม่มีหลักประกัน Apple ป้องกันไม่ให้กองหน้าที่เป็นไปได้จากการสกัดกั้นการสื่อสาร โปรดทราบว่า Apple ได้แก้ไขข้อผิดพลาดด้วยiOS 18.2นำไปใช้เมื่อเดือนมกราคมที่ผ่านมา แต่เพิ่งสื่อสารเรื่องนี้
🔴อย่าพลาดข่าว 01NET ใด ๆ ติดตามเราที่Google NewsETWhatsapp-
แหล่งที่มา : 9to5mac
