Компания выпустила обновление безопасности для iOS 18.2, которая устраняет критическую уязвимость в новом приложении «Пароли». Приложение отправляло незашифрованные запросы по протоколу HTTP для получения логотипов и значков веб-сайтов, связанных с сохраненными паролями.
Компания выпустила обновление безопасности для iOS 18.2, которая устраняет критическую уязвимость в новом приложении «Пароли». Приложение отправляло незашифрованные запросы по протоколу HTTP для получения логотипов и значков веб-сайтов, связанных с сохраненными паролями.
Как сообщает 9to5Mac, отсутствие шифрования означало, что злоумышленник, находящийся в той же Wi-Fi сети, что и пользователь (например, в аэропорту или кафе), мог перенаправить браузер жертвы на поддельную фишинговую страницу с целью кражи учетных данных.
Об этой проблеме первыми сообщили исследователи безопасности из компании Mysk. В описании демонстрационного видео, опубликованного Mysk, указывается, что об уязвимости было сообщено еще в сентябре. Apple также подтвердила наличие аналогичной уязвимости в обновлениях безопасности для macOS, iPadOS и Vision Pro.
Исследователи из Mysk обнаружили уязвимость после того, как обратили внимание, что отчет о конфиденциальности приложений на их iPhone показывал, что приложение «Пароли» подключалось к большому количеству различных веб-сайтов (130) через небезопасное HTTP-соединение.
Дальнейшее исследование показало, что приложение не только загружало логотипы и значки учетных записей через HTTP, но и по умолчанию открывало страницы сброса паролей, используя незашифрованный протокол.
«Это делало пользователя уязвимым: злоумышленник с привилегированным сетевым доступом мог перехватить HTTP-запрос и перенаправить пользователя на фишинговый веб-сайт», — заявил представитель Mysk.
«Мы были удивлены, что Apple не применила HTTPS по умолчанию для такого чувствительного приложения», — отметили в Mysk. Исследователи также считают, что Apple следует предоставить пользователям, заботящимся о безопасности, возможность полностью отключить загрузку значков.
Согласно примечаниям к выпуску обновлений безопасности iOS 18.2 и iPadOS 18.2, уязвимость была незаметно устранена еще в декабре прошлого года, но Apple раскрыла эту информацию только сейчас. Теперь приложение «Пароли» по умолчанию использует HTTPS для всех соединений. Apple рекомендует пользователям обновить свои устройства как минимум до версии iOS 18.2.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.