苹果密码应用漏洞被披露:黑客可钓鱼窃取凭证,iOS 18.2已修复
IT之家 3月19日消息,科技媒体9to5Mac 昨日(3月18日)发布博文,报道称安全团队Mysk检查iPhone 的“App隐私报告”后发现,官方独立应用“Passwords”存在HTTP协议漏洞,直至iOS 18.2修复。
IT之家注:苹果iOS 18(2024年9月上线)推出独立密码管理应用“Passwords”,直至iOS 18.2(2024年12月上线)修复,期间受影响时间范围为3个月,用户面临钓鱼风险。
安全团队表示,Passwords应用曾通过不安全的HTTP协议与130个网站通信,包括获取账户图标和默认打开密码重置页面。研究人员指出用户连接公共WiFi后,黑客可以截获Passwords发送的初始HTTP请求。
然后将用户重定向至仿冒的钓鱼页面(如伪造微软的live.com),用户输入密码后,攻击者可直接获取凭证并发动进一步攻击。苹果在iOS 18.2此前版本中,未强制使用加密的HTTPS协议,且未提供关闭图标下载的选项,导致应用频繁向网站发送请求。
苹果在2024年12月发布的iOS 18.2更新中,并在3月17日更新日志,已经修复了 Passwords应用的该漏洞,默认使用加密协议,避免未受保护的HTTP连接。
(来源:新浪科技)
关联资讯:
荐
荐
荐
荐
