科技媒體 9to5Mac 昨日（3 月 18 日）發(fā)布博文，報(bào)道稱安全團(tuán)隊(duì) Mysk 檢查 iPhone的“App 隱私報(bào)告”后發(fā)現(xiàn)，官方獨(dú)立應(yīng)用“Passwords”存在 HTTP 協(xié)議漏洞，直至 iOS 18.2 修復(fù)。

IT之家注：蘋果 iOS 18 （2024 年 9 月上線）推出獨(dú)立密碼管理應(yīng)用“Passwords”，直至 iOS 18.2（2024 年 12 月上線）修復(fù)，期間受影響時(shí)間范圍為 3 個(gè)月，用戶面臨釣魚風(fēng)險(xiǎn)。

安全團(tuán)隊(duì)表示，Passwords 應(yīng)用曾通過不安全的 HTTP 協(xié)議與 130 個(gè)網(wǎng)站通信，包括獲取賬戶圖標(biāo)和默認(rèn)打開密碼重置頁面。研究人員指出用戶連接公共 WiFi 后，黑客可以截獲 Passwords 發(fā)送的初始 HTTP 請求。

然后將用戶重定向至仿冒的釣魚頁面（如偽造微軟的 live.com），用戶輸入密碼后，攻擊者可直接獲取憑證并發(fā)動進(jìn)一步攻擊。蘋果在 iOS 18.2 此前版本中，未強(qiáng)制使用加密的 HTTPS 協(xié)議，且未提供關(guān)閉圖標(biāo)下載的選項(xiàng)，導(dǎo)致應(yīng)用頻繁向網(wǎng)站發(fā)送請求。

蘋果在 2024 年 12 月發(fā)布的 iOS 18.2 更新中，并在 3 月 17 日更新日志，已經(jīng)修復(fù)了 Passwords 應(yīng)用的該漏洞，默認(rèn)使用加密協(xié)議，避免未受保護(hù)的 HTTP 連接。