Apple обнаружила ошибку в программе Passwords, которая в течение трех месяцев делала пользователей iPhone уязвимыми к фишинговым атакам.
По данным 9to5Mac, программа Passwords загружала логотипы и иконки из аккаунтов по незащищенному HTTP-протоколу и по нему же открывала страницы сброса паролей. Отсутствие шифрования означает то, что злоумышленник в той же сети Wi-Fi, что и вы (например, в публичной, в аэропорту или в кафе), мог перехватить ваш запрос и перенаправить на подобный сайт, чтобы украсть учетные данные.
О баге первыми сообщили исследователи безопасности разработчика приложений Mysk, которые заметили, что отчет о конфиденциальности программ для iPhone показывает, что Passwords связался со 130+ веб-сайтами через незащищенный HTTP.
«Мы были удивлены, что Apple не применяет HTTPS по умолчанию для такого чувствительного приложения», — говорит исследователь Mysk. «Кроме того, Apple должна предоставить пользователям возможность полностью отключить загрузку значков. Мне некомфортно, когда мой менеджер паролей постоянно обращается к каждому сайту, для которого я храню пароль, даже если эти запросы, отправленные Passwords, не содержат ни одного идентификатора».
В конце концов Apple исправила ошибку с декабрьским обновлением iOS 18.2 (но сообщила только сейчас), однако фактически проблема существовала в течение трех месяцев, поэтому определенное количество пользователей уже могло столкнуться с фишингом.
Apple Passwords — это программа управления паролями, впервые представленная с OS 18, iPadOS 18, macOS Sequoia и visionOS 2 осенью. По сути, это альтернатива iCloud Keychain, которая вместе с тем разделяет логины на разные категории, например учетные записи, сети Wi-Fi и ключи доступа.
Сообщить об опечатке
Текст, который будет отправлен нашим редакторам: