蘋(píng)果密碼應用漏洞被披露：黑客可釣魚(yú)竊取憑證，iOS 18.2 已修復

　　科技媒體 9to5Mac 昨日（3 月 18 日）發(fā)布博文，報道稱(chēng)安全團隊 Mysk 檢查 iPhone的App 隱私報告后發(fā)現，官方獨立應用Passwords存在 HTTP 協(xié)議漏洞，直至 iOS 18.2 修復。

　　IT之家注：蘋(píng)果 iOS 18 （2024 年 9 月上線(xiàn)）推出獨立密碼管理應用Passwords，直至 iOS 18.2（2024 年 12 月上線(xiàn)）修復，期間受影響時(shí)間范圍為 3 個(gè)月，用戶(hù)面臨釣魚(yú)風(fēng)險。

　　安全團隊表示，Passwords 應用曾通過(guò)不安全的 HTTP 協(xié)議與 130 個(gè)網(wǎng)站通信，包括獲取賬戶(hù)圖標和默認打開(kāi)密碼重置頁(yè)面。研究人員指出用戶(hù)連接公共 WiFi 后，黑客可以截獲 Passwords 發(fā)送的初始 HTTP 請求。

　　然后將用戶(hù)重定向至仿冒的釣魚(yú)頁(yè)面（如偽造微軟的 live.com），用戶(hù)輸入密碼后，攻擊者可直接獲取憑證并發(fā)動(dòng)進(jìn)一步攻擊。蘋(píng)果在 iOS 18.2 此前版本中，未強制使用加密的 HTTPS 協(xié)議，且未提供關(guān)閉圖標下載的選項，導致應用頻繁向網(wǎng)站發(fā)送請求。

　　蘋(píng)果在 2024 年 12 月發(fā)布的 iOS 18.2 更新中，并在 3 月 17 日更新日志，已經(jīng)修復了 Passwords 應用的該漏洞，默認使用加密協(xié)議，避免未受保護的 HTTP 連接。