投稿
  1. 谷达鸭首页
  2. 投稿

iPhone密码APP爆资安漏洞,未升级iOS 18.2恐遭钓鱼攻击

uuu9 投稿

苹果在iOS 18推出时,将原本藏在系统内置「设置」中的密码钥匙圈管理工具,独立成 「密码」APP(Passwords App) ,方便iPhone 用户能够管理帐密和各种凭证。 近日却有资安团队揭露一个严重的 HTTP 漏洞,容易导致 iOS 18.0 至 18.1.1 的「密码」APP 暴露于钓鱼攻击风险,该问题直到 iOS 18.2 才正式被修复。

iPhone密码App通过HTTP加载网站信息引发安全漏洞

资安研究团队Mysk发现,他们通过APP隐私报告挖掘,意外发现iPhone「密码」App 会通过不安全的 HTTP 连线存取多达130个网站,在经过网络侦错工具深入调查后,安全团队发现主要出自于「密码」APP 会自动通过 HTTP 抓取帐号图标与网站标志,更严重的是,密码应用程序重设页面竟会默认使用 HTTP,而非安全的 httpS 协议。

iPhone密码App通过HTTP加载网站信息引发安全漏洞

Mysk 研究员认为,苹果在处理高度敏感的应用程序竟然没强制使用 HTTPS,毕竟’密码’APP会频繁向用户储存的网站发送 HTTP 请求,虽然这些请求不包含个人识别信息,但能让攻击者能利用拦截,并将用户重定向至伪造的钓鱼网站,趁机窃取记录在密码APP内的帐号密码。

虽然大多数网站会将 HTTP 连线自动转址至 HTTPS,只要攻击者与受害者使用相同的公众 Wi-Fi 网络,如星巴克、机场或饭店 Wi-Fi 区网下就能拦截初始 HTTP 请求,然后进行流量监控,或是将受害者导向看似官方的钓鱼网站和伪造密码重设页面,收集受害者的登入凭证,甚至能进一步发动攻击。

Mysk 安全团队也演示,如何利用iPhone密码APP漏洞进行网络钓鱼攻击,过程如下视频:

#Security: iOS 18 Passwords App Vulnerable to Phishing Attacks!

苹果iOS 18.2已修补密码APP漏洞,尽快确保iPhone更新

据了解苹果已经在2024年12月推出iOS 18.2修补「密码」APP漏洞,已全面改用 HTTPS 进行所有连线,确保用户信息安全。 该问题直到近期才被揭露,也要求所有已经更新到iOS 18用户,进快升级到iOS 18.2或更新版本,才能避免遭受钓鱼攻击。

苹果iOS 18.2已修补密码APP漏洞,尽快确保iPhone更新
(0)
打赏 微信扫一扫 微信扫一扫
uuu9uuu9认证作者
0 0

相关推荐

发表回复

登录后才能评论