Apple исправила уязвимость в iOS 18.2, которая позволяла украсть данные из приложения Пароли

Apple устранила уязвимость в приложении Пароли в iOS 18.2, которая позволяла злоумышленникам в течение трёх месяцев красть пароли с iPhone.

Приложение Пароли отправляло незашифрованные запросы 130 сайтам, чтобы подгрузить иконки для сохраненных сайтов. Злоумышленник, находящийся в той же сети Wi-Fi, мог использовать фишинговый сайт для перехвата этих запросов и кражи паролей.

Уязвимость обнаружил разработчик Mysk. Он также записал видео, демонстрирующее, как можно осуществить фишинговую атаку.

Разработчик считает, что Apple следует вовсе отключить загрузку иконок в приложении Пароли, чтобы минимизировать риск утечки информации:

Мы были удивлены, что Apple не применяет HTTPS по умолчанию для такого чувствительного приложения. Кроме того, Apple должна предоставить пользователям, заботящимся о безопасности, возможность полностью отключить загрузку иконок. Мне не нравится, что мой менеджер паролей постоянно пингует каждый сайт, для которого я сохраняю пароль, даже если в запросах, которые отправляет Passwords, нет никакого идентификатора».

Mysk

Apple исправила уязвимость в декабре 2024 года, но только сейчас опубликовала информацию о ней на своём сайте. Компания не уточнила, использовал ли кто-то эту лазейку. Данная уязвимость также была устранена в macOS Sequoia 15.2 и visionOS 2.2. [The Verge]

• До ←

  Создатель Pebble выпустит новые умные часы под брендом Core Devices. Внутри Pebble OS и 30 дней без подзарядки

• После →

  МТС: iPhone 16e обошёл по популярности предыдущие iPhone SE