Apple
Apple виявила помилку в програмі Passwords, яка протягом трьох місяців робила користувачів iPhone вразливими до фішингових атак.
За даними 9to5Mac, програма Passwords завантажувала логотипи та іконки з облікових записів за незахищеним HTTP-протоколом і за ним же відкривала сторінки скидування паролів. Відсутність шифрування означає те, що зловмисник у тій самій мережі Wi-Fi, що й ви (наприклад у публічній, в аеропорту чи кафе), міг перехопити ваш запит і перенаправити на подібний сайт, щоб викрасти облікові дані.
Про баг першими повідомили дослідники безпеки розробника додатків Mysk, які помітили, що звіт про конфіденційність програм для iPhone показує, що Passwords зв’язався з 130+ вебсайтами через незахищений HTTP.
«Ми були здивовані, що Apple не застосовує HTTPS за замовчуванням для такого чутливого додатка», — каже дослідник Mysk. «Крім того, Apple повинна надати користувачам можливість повністю вимкнути завантаження значків. Мені некомфортно, коли мій менеджер паролів постійно звертається до кожного сайту, для якого я зберігаю пароль, навіть якщо ці запити, які надсилає Passwords, не містять жодного ідентифікатора».
Зрештою Apple виправила помилку з грудневим оновленням iOS 18.2 (але повідомила лише зараз), однак, фактично, проблема існувала протягом трьох місяців, тож певна кількість користувачів вже могла стикнутися з фішингом.
Apple Passwords — це програма для керування паролями, вперше представлена з OS 18, iPadOS 18, macOS Sequoia та visionOS 2 восени. По суті, це альтернатива iCloud Keychain, яка разом з тим розділяє логіни на різні категорії, як-от облікові записи, мережі Wi-Fi та ключі доступу.