01苹果修复密码管理漏洞
3月19日消息,据相关科技媒体报道,一家名为Mysk的安全团队在对iPhone的“App隐私报告”进行检查时发现,苹果官方推出的独立密码管理应用“Passwords”曾存在一个与HTTP协议相关的安全漏洞。该问题直到iOS 18.2版本发布时才得到修复。
据了解,苹果在2024年9月推出的iOS 18系统中引入了独立的密码管理应用“Passwords”。然而,在该应用上线初期,由于未强制使用加密的HTTPS协议,而是允许通过不安全的HTTP协议与外部网站通信,导致用户面临一定的安全风险。这一问题一直持续到2024年12月发布的iOS 18.2更新中才得以解决,受影响的时间跨度约为3个月。
安全团队指出,在这期间,“Passwords”应用曾通过不安全的HTTP协议与超过130个网站进行通信,包括获取账户图标以及默认打开密码重置页面等功能。研究人员警告称,当用户连接公共WiFi时,攻击者可能截获“Passwords”发送的初始HTTP请求,并将用户重定向至伪造的钓鱼页面。例如,黑客可能会模仿微软的“live.com”登录界面,诱使用户输入账号密码,从而窃取用户的凭证信息并进一步实施攻击。
此外,研究团队还提到,苹果在早期版本的iOS 18中并未提供关闭图标下载功能的选项,这导致“Passwords”应用频繁向外部网站发送请求,增加了潜在的风险。
苹果公司在2024年12月发布的iOS 18.2更新中解决了这一问题。根据3月17日发布的更新日志显示,此次更新修复了“Passwords”应用的漏洞,默认启用加密协议,避免了未受保护的HTTP连接带来的安全隐患。这一改进有助于提升用户的数据安全性和隐私保护水平。
