У «Паролях» ад Apple была крытычная ўразлівасць, якая дазваляла праводзіць фішынгавыя атакі

Як паведамляе 9to5Mac, адсутнасць шыфравання азначала, што зламыснік, які знаходзіцца ў той жа сетцы Wi-Fi, што і карыстальнік (напрыклад, у аэрапорце або кавярні), мог перанакіраваць браўзер ахвяры на падробленую фішынгавую старонку з мэтай крадзяжу ўліковых дадзеных.

Пра гэтую праблему першымі паведамілі даследчыкі бяспекі з кампаніі Mysk. У апісанні дэманстрацыйнага відэа, апублікаванага Mysk, адзначаецца, што пра ўразлівасць было паведамлена яшчэ ў верасні. Apple таксама пацвердзіла наяўнасць аналагічнай уразлівасці ў абнаўленнях бяспекі для macOS, iPadOS і Vision Pro.

Даследчыкі з Mysk выявілі ўразлівасць пасля таго, як звярнулі ўвагу, што справаздача пра канфідэнцыйнасць аплікацый на іх iPhone паказвала, што аплікацыя «Паролі» злучалася з вялікай колькасцю розных вэб-сайтаў (130) праз небяспечнае HTTP-падлучэнне.

Далейшае даследаванне паказала, што дадатак не толькі загружаў лагатыпы і значкі ўліковых запісаў праз HTTP, але і па змаўчанні адкрываў старонкі скіду пароляў, выкарыстоўваючы незашыфраваны пратакол.

«Гэта рабіла карыстальніка ўразлівым: зламыснік з прывілеяваным доступам да сеткі мог перахапіць HTTP-запыт і перанакіраваць карыстальніка на фішынгавы вэб-сайт», — заявіў прадстаўнік Mysk.

«Мы былі здзіўленыя, што Apple не ўжыла HTTPS па змаўчанні для такой важнай аплікацыі», — адзначылі ў Mysk. Даследчыкі таксама лічаць, што Apple варта даць карыстальнікам, якія клапоцяцца пра бяспеку, магчымасць цалкам адключыць загрузку значкоў.

Згодна з нататкамі да выпуску абнаўленняў бяспекі iOS 18.2 і iPadOS 18.2, уразлівасць была ціха выпраўлена яшчэ ў снежні мінулага года, але Apple раскрыла гэтую інфармацыю толькі зараз. Цяпер аплікацыя «Паролі» па змаўчанні выкарыстоўвае HTTPS для ўсіх злучэнняў. Apple рэкамендуе карыстальнікам абнавіць свае прылады хаця б да версіі iOS 18.2.