Apple устранила уязвимость в приложении Пароли в iOS 18.2, которая позволяла злоумышленникам в течение трёх месяцев красть пароли с iPhone.
Приложение Пароли отправляло незашифрованные запросы 130 сайтам, чтобы подгрузить иконки для сохраненных сайтов. Злоумышленник, находящийся в той же сети Wi-Fi, мог использовать фишинговый сайт для перехвата этих запросов и кражи паролей.
Уязвимость обнаружил разработчик Mysk. Он также записал видео, демонстрирующее, как можно осуществить фишинговую атаку.
Разработчик считает, что Apple следует вовсе отключить загрузку иконок в приложении Пароли, чтобы минимизировать риск утечки информации:
Мы были удивлены, что Apple не применяет HTTPS по умолчанию для такого чувствительного приложения. Кроме того, Apple должна предоставить пользователям, заботящимся о безопасности, возможность полностью отключить загрузку иконок. Мне не нравится, что мой менеджер паролей постоянно пингует каждый сайт, для которого я сохраняю пароль, даже если в запросах, которые отправляет Passwords, нет никакого идентификатора».
Mysk
Apple исправила уязвимость в декабре 2024 года, но только сейчас опубликовала информацию о ней на своём сайте. Компания не уточнила, использовал ли кто-то эту лазейку. Данная уязвимость также была устранена в macOS Sequoia 15.2 и visionOS 2.2. [The Verge]
3 комментария