iOS 18の発売により、Appleは、以前にシステム設定に隠されている資格情報管理ツールを、実際の自律アプリ:パスワードに変換しました。この選択は、ユーザー向けの最も快適なパスワード管理、しかし、それで予想外のリスクをもたらしました。ほぼ3か月間、このアプリは、ネットワークにアクセスできる攻撃者がフィッシングサイトでパスワードリセットリクエストを転用できる危険なバグに対して脆弱でした。この問題は、新しいアプリのトラフィックを分析したMySKセキュリティ研究者によって発見され、図ではなくHTTP接続を介して130のWebサイトに連絡されたことがわかりました。
主なエラーは、パスワードが資格情報の回復を管理する方法に関するものでした。 iOS 18.2の更新の前に、アプリ、彼はHTTPSプロトコルの使用を強制しませんでしたパスワードのリセットのリクエストと、Webサイトのアイコンの回復のため。この行動は、中間者として知られる攻撃の余地を残しました。特にバー、空港、ホテルなどの公共ネットワークでは危険です。
現時点では、X/Twitterには問題があります
また、投稿をロードすることはできません
同じユーザーWi-Fiネットワークに接続されているハッカーは暗号化されていないHTTP要求を傍受しますこれが安全なHTTPS接続に自動的にリダイレクトされました。このようにして、彼はユーザーを元と同じフィッシングページに迂回させ、彼の資格情報を悪意のあるサイトに挿入するように誘導することができました。
Appleの修正とiOS 18.2の新しい保護
脆弱性は静かに正しかった12月にiOS 18.2のリリース、しかし、Appleは過去24時間でのみ問題を正式に伝えました。アップデートを使用すると、パスワードアプリはすべての接続にHTTPSを使用して、悪者による傍受の試みを防ぎます。
Myskによると、Appleは持っているはずですiOS 18の発売以来、この尺度を実装します。さらに、セキュリティの専門家は、Cupertinoがユーザーにサイトアイコンの自動ダウンロードを無効にするオプションを提供できることを示唆しており、外部サーバーの不必要なリクエストを回避します。
