Компания Apple исправила серьезную ошибку в своем приложении Passwords, которая могла привести к фишинговым атакам на пользователей. Эта проблема существовала в приложении почти три месяца — с момента выхода iOS 18 до обновления iOS 18.2.
Исследователи из Mysk обнаружили, что Passwords передавал данные через незащищенный протокол HTTP при обращении к более чем 130 веб-сайтам. Это означало, что злоумышленники могли перехватывать запросы пользователей и направлять их на фишинговые сайты, если они имели доступ к той же сети, например, в общественных местах.
Эксперты из Mysk выразили удивление тем, что Apple не использовала HTTPS по умолчанию в таком важном приложении. Они также рекомендовали пользователям иметь возможность полностью отключить загрузку значков сайтов, так как это может повысить безопасность.
Хотя большинство современных сайтов автоматически перенаправляют HTTP-запросы на HTTPS, уязвимость в Passwords позволяла злоумышленникам создавать поддельные страницы и красть учетные данные.
Уязвимость была устранена в обновлении iOS 18.2, но Apple раскрыла информацию об этой ошибке только спустя несколько месяцев. Теперь в обновленной версии Passwords использует HTTPS по умолчанию для всех соединений.
© KiberSec.ru – 01.04.2025, обновлено 01.04.2025
Перепечатка материалов сайта возможна только с разрешения администрации KiberSec.ru.
