在iOS 18中,苹果旋转了其钥匙扣密码管理工具(仅藏在设置中),这是一个名为“密码”的独立应用程序。这是该公司在使用户更方便的凭证管理方面的第一步。现在已经透露,从iOS 18的最初版本到iOS 18.2的补丁程序,一个严重的HTTP Bug留下了近三个月来容易受到网络钓鱼攻击的用户。
MYSK的安全研究人员在注意到其iPhone的应用程序隐私报告显示密码与不安全的HTTP流量联系了惊人的130个不同的网站后,首先发现了缺陷。这促使二人组进一步调查,发现应用程序不仅是通过HTTP获取帐户徽标和图标的应用程序 – 还默认用于使用未加密的协议打开密码重置页面。 “这使用户易受伤害:具有特权网络访问的攻击者可以拦截HTTP请求,并将用户重定向到网络钓鱼网站,” Mysk告诉9TO5MAC 。
Mysk演示了如何进行网络钓鱼攻击:
Mysk指出:“我们感到惊讶的是,苹果没有为这样一个敏感的应用程序执行HTTPS。” “此外,Apple应该为安全意识的用户提供一个选项,以完全禁用下载图标,我对我的密码经理不断地ping ping我维护密码的每个网站,即使呼叫密码发送了任何ID。”
如今,大多数现代网站都允许未加密的HTTP连接,但使用301重定向自动将其重定向到HTTP。重要的是要注意,虽然iOS 18.2之前的密码应用程序将通过HTTP提出请求,但它将重定向到安全的HTTPS版本。在正常情况下,这完全可以,因为密码更改发生在加密页面上,以确保不会以纯文本发送凭据。
但是,当攻击者与用户(即星巴克,机场或Wi-Fi酒店)连接到同一网络并在重定向之前拦截HTTP请求时,这将成为一个问题。他们可以从这里以几种方式操纵流量。如上面的Mysk演示中所示,这包括修改请求重定向类似于Microsoft的Live.com页面的网络钓鱼网站。然后,攻击者可以轻松地从受害者那里收集凭据,甚至发动其他攻击。
虽然去年12月对此进行了安静的修补,但苹果只是在过去24小时内才披露了这一点。现在,密码应用程序默认使用HTTPS用于所有连接,因此请确保您的设备上至少运行18.2!如果这个消息在雷达之下传播得很远,我不会感到惊讶。分享意识!
f outlow arin:Twitter/x,LinkedIn,线程
免责声明
部分内容(图片、文章)翻译/转载自国内外资讯/自媒体平台。文中内容不代表本站立场,如有侵权或其它,请联系 macmao.com@gmail.com,我们会第一时间配合删除。(转载请注明来源自:www.macmao.com)