/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F137%2Fccd5084d5ed9d1c2cd886ea6073f9d9a.jpg)
Apple три месяца игнорировала баг в iOS 18, который мог спровоцировать утечку паролей
Apple обнаружила ошибку в программе Passwords, которая в течение трех месяцев делала пользователей iPhone уязвимыми к фишинговым атакам.
По данным 9to5Mac, программа Passwords загружала логотипы и иконки из аккаунтов по незащищенному HTTP-протоколу и по нему же открывала страницы сброса паролей. Отсутствие шифрования означает то, что злоумышленник в той же сети Wi-Fi, что и вы (например, в публичной, в аэропорту или в кафе), мог перехватить ваш запрос и перенаправить на подобный сайт, чтобы украсть учетные данные.
О баге первыми сообщили исследователи безопасности разработчика приложений Mysk, которые заметили, что отчет о конфиденциальности программ для iPhone показывает, что Passwords связался со 130+ веб-сайтами через незащищенный HTTP.
«Мы были удивлены, что Apple не применяет HTTPS по умолчанию для такого чувствительного приложения», — говорит исследователь Mysk. «Кроме того, Apple должна предоставить пользователям возможность полностью отключить загрузку значков. Мне некомфортно, когда мой менеджер паролей постоянно обращается к каждому сайту, для которого я храню пароль, даже если эти запросы, отправленные Passwords, не содержат ни одного идентификатора».
В конце концов Apple исправила ошибку с декабрьским обновлением iOS 18.2 (но сообщила только сейчас), однако фактически проблема существовала в течение трех месяцев, поэтому определенное количество пользователей уже могло столкнуться с фишингом.
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F137%2F3e6c995dead5142a18486a6d4f68da88)
Apple Passwords — это программа управления паролями, впервые представленная с OS 18, iPadOS 18, macOS Sequoia и visionOS 2 осенью. По сути, это альтернатива iCloud Keychain, которая вместе с тем разделяет логины на разные категории, например учетные записи, сети Wi-Fi и ключи доступа.
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Fadmin%2Fafdcbeaf-f33b-4cc7-ba09-607beea3da83.png)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F52%2F4cd87fc57f65ea9469e1c6f5c7529648.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F53%2Fbe6b49f2af9cc4eb23ded2d1e4dfa9a2.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F53%2Fc2969b506f6f874a8167e15032976850.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F434%2F851918ea3c8d23e835000d3c5b7e4da2.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F53%2F65cd5ebb848651681b9b1f9362699d0a.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F1%2Fcd0a8d42b32d7afb4e79a86d010eb97c.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F434%2F625b756d0bf844d143a53e8426a8256f.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F434%2F302ae0b11739933cad86203e1ef1e2c7.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F52%2F1444ca512b13680008966efcc679df28.jpg)