科技媒體 9to5Mac 昨日報道,安全團隊 Mysk 發(fā)現(xiàn) iPhone 官方獨立應用“Passwords”存在 HTTP 協(xié)議漏洞,該漏洞直至 iOS 18.2 才得到修復。
據(jù)了解,蘋果在 iOS 18 中推出了獨立密碼管理應用“Passwords”,但在 iOS 18.2 修復該漏洞之前,用戶面臨著釣魚風險。安全團隊表示,Passwords 應用曾通過不安全的 HTTP 協(xié)議與 130 個網(wǎng)站通信,包括獲取賬戶圖標和默認打開密碼重置頁面。這意味著,在用戶連接公共 WiFi 后,黑客可以截獲 Passwords 發(fā)送的初始 HTTP 請求,并將用戶重定向至仿冒的釣魚頁面,從而獲取用戶輸入的密碼和其他憑證。
蘋果在 iOS 18.2 之前的版本中,未強制使用加密的 HTTPS 協(xié)議,且未提供關(guān)閉圖標下載的選項,導致應用頻繁向網(wǎng)站發(fā)送請求。這一漏洞的存在,使得用戶的密碼和其他敏感信息面臨著被竊取的風險。
不過,好消息是,蘋果在 2024 年 12 月發(fā)布的 iOS 18.2 更新中,已經(jīng)修復了 Passwords 應用的該漏洞。該更新默認使用加密協(xié)議,避免了未受保護的 HTTP 連接。同時,蘋果還在 3 月 17 日的更新日志中,對該漏洞的修復進行了說明。
對于用戶來說,為了確保自己的密碼和其他敏感信息的安全,建議及時更新系統(tǒng)和應用程序,以避免類似的安全漏洞。同時,在使用公共 WiFi 時,也應該注意保護自己的隱私和安全,避免在不安全的網(wǎng)絡(luò)環(huán)境中輸入敏感信息。