Кампанія выпусціла абнаўленне бяспекі для iOS 18.2, якое ліквідуе крытычную ўразлівасць у новай аплікацыі «Паролі». Аплікацыя адпраўляла незашыфраваныя запыты па пратаколе HTTP для атрымання лагатыпаў і значкоў вэб-сайтаў, звязаных з захаванымі паролямі.
Кампанія выпусціла абнаўленне бяспекі для iOS 18.2, якое ліквідуе крытычную ўразлівасць у новай аплікацыі «Паролі». Аплікацыя адпраўляла незашыфраваныя запыты па пратаколе HTTP для атрымання лагатыпаў і значкоў вэб-сайтаў, звязаных з захаванымі паролямі.
Як паведамляе 9to5Mac, адсутнасць шыфравання азначала, што зламыснік, які знаходзіцца ў той жа сетцы Wi-Fi, што і карыстальнік (напрыклад, у аэрапорце або кавярні), мог перанакіраваць браўзер ахвяры на падробленую фішынгавую старонку з мэтай крадзяжу ўліковых дадзеных.
Пра гэтую праблему першымі паведамілі даследчыкі бяспекі з кампаніі Mysk. У апісанні дэманстрацыйнага відэа, апублікаванага Mysk, адзначаецца, што пра ўразлівасць было паведамлена яшчэ ў верасні. Apple таксама пацвердзіла наяўнасць аналагічнай уразлівасці ў абнаўленнях бяспекі для macOS, iPadOS і Vision Pro.
Даследчыкі з Mysk выявілі ўразлівасць пасля таго, як звярнулі ўвагу, што справаздача пра канфідэнцыйнасць аплікацый на іх iPhone паказвала, што аплікацыя «Паролі» злучалася з вялікай колькасцю розных вэб-сайтаў (130) праз небяспечнае HTTP-падлучэнне.
Далейшае даследаванне паказала, што дадатак не толькі загружаў лагатыпы і значкі ўліковых запісаў праз HTTP, але і па змаўчанні адкрываў старонкі скіду пароляў, выкарыстоўваючы незашыфраваны пратакол.
«Гэта рабіла карыстальніка ўразлівым: зламыснік з прывілеяваным доступам да сеткі мог перахапіць HTTP-запыт і перанакіраваць карыстальніка на фішынгавы вэб-сайт», — заявіў прадстаўнік Mysk.
«Мы былі здзіўленыя, што Apple не ўжыла HTTPS па змаўчанні для такой важнай аплікацыі», — адзначылі ў Mysk. Даследчыкі таксама лічаць, што Apple варта даць карыстальнікам, якія клапоцяцца пра бяспеку, магчымасць цалкам адключыць загрузку значкоў.
Згодна з нататкамі да выпуску абнаўленняў бяспекі iOS 18.2 і iPadOS 18.2, уразлівасць была ціха выпраўлена яшчэ ў снежні мінулага года, але Apple раскрыла гэтую інфармацыю толькі зараз. Цяпер аплікацыя «Паролі» па змаўчанні выкарыстоўвае HTTPS для ўсіх злучэнняў. Apple рэкамендуе карыстальнікам абнавіць свае прылады хаця б да версіі iOS 18.2.
Рэлацыраваліся? Цяпер вы можаце каментаваць без верыфікацыі акаўнта.