蘋果最近推出的密碼應用程序在近三個月內容易受到網絡釣魚攻擊,然後該公司悄悄地在軟件更新中修補了該問題。 Mysk 的安全研究人員發現,這款隨 iOS 18 引入的應用程序正在發出未加密的 HTTP 請求,以檢索鏈接到存儲憑據的網站圖標。此缺陷創建了一個潛在的攻擊媒介,允許同一 Wi-Fi 網絡上的黑客攔截和操縱這些請求,將用戶引導至惡意網站。
該漏洞可能使攻擊者能夠用虛假圖標替換合法網站圖標,誘騙用戶在網絡釣魚網站上輸入憑據。雖然蘋果現已在 iOS 18.2 中通過對所有連接強制執行 HTTPS 來解決該問題,但這一發現引發了人們對以安全為重點的應用程序中的最初監督的擔憂。
Passwords 是蘋果公司對 1Password 和 Bitwarden 等專用密碼管理器的回應,是作為其更廣泛推動集成安全解決方案的一部分而推出的。該應用程序通過 iCloud 鑰匙串跨設備同步憑據,並提供自動填充功能以方便登錄。然而,這一安全漏洞可能會削弱人們對蘋果對無懈可擊的隱私承諾的信心。
閱讀更多:蘋果將修補屏幕時間缺陷,但家長的信任度仍不穩定
安全專家建議用戶確保其設備更新至 iOS 18.2 或更高版本,以降低任何潛在風險。此外,他們建議盡可能使用雙因素身份驗證 (2FA) 以添加額外的保護層。
隨著蘋果公司日益將自己定位為隱私第一的公司,這一事件凸顯了在其不斷擴大的服務生態系統中維護安全性所面臨的挑戰。該修復強調了持續安全審核的重要性,特別是對於處理敏感用戶數據的應用程序。
來源朝九晚五