新密码应用程序中的漏洞(“密码”),iOS 18更新,是由安全研究人员发现的麝香。正如研究人员向我们的同事们解释的那样9to5mac,缺点使iPhone的用户容易受到网络钓鱼攻击的影响。
敏感的Apple应用程序上的HTTP请求
最初,专家意识到Apple的应用程序已发送无抵押的HTTP请求获取130个网站的徽标和图标。这些元素用于说明与您记录的密码相关的网站。默认情况下,密码重置页面还使用HTTP。
由于没有特别的原因,Apple不希望强制使用该应用程序的HTTP,比HTTP更安全。 HTTP协议在没有加密的情况下传输清晰的文本数据,这为网络攻击打开了大门。相反,HTTPS标准基于使用SSL/TLS协议的加密数据。
“我们感到惊讶的是,苹果没有将默认的HTTP应用于这种敏感的应用程序。此外,Apple应该为安全用户提供一个选项,以完全停用图标下载。我对我的密码经理不满意,我的密码管理器不断将PING发送到我维护密码的每个网站上的ping''',总结Mysk的研究人员,对Apple选择的方法感到惊讶。
这些无抵押请求可以是连接到同一Wi-Fi网络的人拦截目标的iPhone。最终,他可以“将用户重定向到网站网站”。然后,这个恶意网站可以请求用户的个人数据,包括标识符和密码。研究人员以模仿Microsoft官方网站的网络钓鱼页面为例。确信在Microsoft网站上,该目标可以输入链接到其帐户的标识符以连接到它。该故障为通过公共Wi-Fi(例如机场,咖啡,餐厅或酒店的公共Wi-Fi)打开了大门。
另请阅读:巴黎公共Wi-Fi的25%是危险
苹果用iOS 18.2纠正镜头
在Mysk研究人员的警告下,Apple纠正了脆弱性。 Cupertino巨头已在iOS 18.2更新中进行了更正。在儿子网站,苹果承认“网络特权位置的用户可能能够披露敏感信息”通过利用故障。该小组还唤起了一个第二个缺陷,链接到第一个,这将允许“在网络特权位置处于特权位置的攻击者”的“修改网络流量”。
故障在持续三个月在iOS 18的部署与iOS 18.2的到来之间。苹果补充说“发送网络信息时使用HTTPS解决问题”。通过避免无抵押的HTTP请求,Apple可以防止可能的前锋拦截通信。请注意,苹果已纠正了错误iOS 18.2,于去年1月部署,但刚刚就此主题进行了沟通。
来源 : 9to5mac
