/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F137%2Fccd5084d5ed9d1c2cd886ea6073f9d9a.jpg)
Apple три месяца игнорировала баг в iOS 18, который мог спровоцировать утечку паролей
Apple обнаружила ошибку в программе Passwords, которая в течение трех месяцев делала пользователей iPhone уязвимыми к фишинговым атакам.
По данным 9to5Mac, программа Passwords загружала логотипы и иконки из аккаунтов по незащищенному HTTP-протоколу и по нему же открывала страницы сброса паролей. Отсутствие шифрования означает то, что злоумышленник в той же сети Wi-Fi, что и вы (например, в публичной, в аэропорту или в кафе), мог перехватить ваш запрос и перенаправить на подобный сайт, чтобы украсть учетные данные.
О баге первыми сообщили исследователи безопасности разработчика приложений Mysk, которые заметили, что отчет о конфиденциальности программ для iPhone показывает, что Passwords связался со 130+ веб-сайтами через незащищенный HTTP.
«Мы были удивлены, что Apple не применяет HTTPS по умолчанию для такого чувствительного приложения», — говорит исследователь Mysk. «Кроме того, Apple должна предоставить пользователям возможность полностью отключить загрузку значков. Мне некомфортно, когда мой менеджер паролей постоянно обращается к каждому сайту, для которого я храню пароль, даже если эти запросы, отправленные Passwords, не содержат ни одного идентификатора».
В конце концов Apple исправила ошибку с декабрьским обновлением iOS 18.2 (но сообщила только сейчас), однако фактически проблема существовала в течение трех месяцев, поэтому определенное количество пользователей уже могло столкнуться с фишингом.
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F137%2F3e6c995dead5142a18486a6d4f68da88)
Apple Passwords — это программа управления паролями, впервые представленная с OS 18, iPadOS 18, macOS Sequoia и visionOS 2 осенью. По сути, это альтернатива iCloud Keychain, которая вместе с тем разделяет логины на разные категории, например учетные записи, сети Wi-Fi и ключи доступа.
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Fadmin%2Fafdcbeaf-f33b-4cc7-ba09-607beea3da83.png)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F8%2F85fba2f329a8413edea1db5f4f928a64.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F53%2F08076e1ec27c790662de1c46f1eb8ace)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F118%2Fbcbddcf6d04f11c5439bba07b206f92a.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F46%2F72eccc207aacea6ecce69492242e2e8f.png)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F46%2F01a8e7c8ccbec51b75ca899a4126f5f8.png)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F118%2Fd3042313fe0a026959964dcab419145f.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F53%2Fbf7288fe4a1dd05d1329932ee36c6193.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F8%2Ff2a7ddeda94fdd31194932ad8b40bc28.png)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F53%2F6f049350209af02f416ec60a1b0d27e8)