Az iOS jelszavak alkalmazásában egy hibát, amely azt jelentette, hogy az iPhone felhasználók hajlamosak voltak a lehetséges adathalász támadásokra, akkor az évek óta jelen voltak.
A biztonsági oldalán szereplő feljegyzésben az Apple a problémát úgy írta le, ahol “kiváltságos hálózati helyzetben lévő felhasználó képes lehet érzékeny információkat szivárogni”. A problémát a HTTPS használatával oldottuk meg, amikor információkat küldtek a hálózaton keresztül – mondta a technológiai óriás.
A hibát, amelyet először a MySK biztonsági kutatói fedeztek fel, szeptemberben jelentették be, de úgy tűnt, hogy több hónapig nem maradt. A Tweet szerdán a MySK szerint az Apple jelszavak alapértelmezés szerint egy bizonytalan HTTP -t használtak, mivel a veszélyeztetett jelszó -észlelési funkciót az iOS 14 -ben vezették be, amelyet 2020 -ban adtak ki.
“Az iPhone -felhasználók évek óta, nem hónapokig ki vannak téve az adathalász támadásoknak” – mondta Mysk. “Az iOS 18 -ban a dedikált jelszavak alkalmazás lényegében a régi jelszókezelő újbóli csomagolása volt, amely a beállításokban volt, és az összes hibáját magában vitte.”
Ennek ellenére nagyon alacsony annak a valószínűsége, hogy valaki áldozatává válik. A hibát más termékek, köztük a Mac, az iPad és a Vision Pro biztonsági frissítéseivel is foglalkoztak.
A MySK által közzétett YouTube -videó feliratában, amely kiemelte a kérdést, a kutatók megmutatták, hogy az iOS 18 jelszavak alkalmazás miként nyitotta meg a linkeket, és alapértelmezés szerint letöltötte a fiók ikonjait a bizonytalan HTTP -ről, így kiszolgáltatottá téve az adathalász támadásokat. A videó kiemeli, hogy a hálózati hozzáféréssel rendelkező támadó hogyan tudta elfogni és átirányítani a kéréseket egy rosszindulatú webhelyre.
A 9to5MAC szerint a probléma akkor jelent problémát, amikor a támadó ugyanabban a hálózaton van, mint a felhasználó, például egy kávézóban vagy repülőtéren, és elfogja a HTTP kérést, mielőtt átirányítja.
Az Apple nem válaszolt a kérdésre vonatkozó megjegyzés iránti kérelemre, és nem nyújtott be további részleteket.
A Mysk szerint a hiba észlelése nem jogosult monetáris fejbõl, mert nem felel meg az ütési kritériumoknak, és nem tartozik a támogatható kategóriák egyikébe.
“Igen, úgy érzi, hogy jótékonysági munkát végez egy 3 trillió dolláros társaságnál” – tweetelt a cég. “Nem elsősorban pénzért tettük ezt, de ez megmutatja, hogy az Apple hogyan értékeli a független kutatókat. 2024 szeptember óta sok időt töltöttünk arra, hogy meggyőzzük az Apple -t. Ez egy hiba volt. Örülünk, hogy működött. És megcsinálnánk.”
Potenciális biztonsági csúszás
Georgia Cooke, az ABI Research biztonsági elemzője, a kiadást “nem egy kis sült hibának” nevezte.
“Valójában ez egy pokoli csúszás az Apple -től” – mondta Cooke. “A felhasználó számára ez egy olyan sebezhetőség, amely bemutatja az alapvető biztonsági protokollok meghibásodását, kitéve őket egy régóta fennálló támadási formának, amely korlátozott kifinomultságot igényel.”
Cooke szerint a legtöbb ember valószínűleg nem fog belemerülni ebbe a kérdésbe, mert ehhez elég konkrét körülményekhez van szükség, például választja a bejelentkezés frissítését egy jelszókezelőtől, ezt nyilvános hálózaton csinálja, és nem veszi észre, ha átirányítják. Ennek ellenére jó emlékeztető arra, hogy miért olyan fontos az eszközök rendszeres frissítése.
Hozzátette, hogy az emberek további lépéseket tehetnek, hogy megvédjék magukat az ilyen típusú sebezhetőségektől, különösen a megosztott hálózatokon. Ez magában foglalja az eszközök forgalmát egy virtuális magánhálózaton keresztül, elkerülve az érzékeny tranzakciókat, például a nyilvános Wi-Fi hitelesítő adatait, és nem használja újra a jelszavakat.
