近期,科技新聞領域傳來一則關于蘋果iOS系統的安全警報。據科技博客9to5Mac報道,安全專家團隊Mysk在深入分析了iPhone的“App隱私報告”后,揭露了一個令人擔憂的安全漏洞。該漏洞存在于蘋果官方推出的獨立密碼管理應用“Passwords”中,且影響范圍覆蓋從iOS 18發布至iOS 18.2更新的時段。
具體而言,這一安全漏洞允許“Passwords”應用在未經加密的情況下,通過HTTP協議與多達130個網站進行通信。這些通信內容涵蓋了賬戶圖標的獲取以及默認密碼重置頁面的打開等操作。值得注意的是,iOS 18版本于2024年9月正式推出,而“Passwords”應用的這一安全隱患直到同年12月發布的iOS 18.2版本中才得以修復,期間用戶長達三個月處于潛在風險之中。
Mysk團隊進一步指出,當用戶連接至公共WiFi網絡時,惡意黑客有可能攔截到“Passwords”應用發出的HTTP請求。通過這一手段,攻擊者能夠將用戶重定向至精心設計的釣魚頁面,這些頁面往往偽裝成知名網站,如微軟的live.com。一旦用戶在釣魚頁面上輸入了自己的密碼,攻擊者便能輕松獲取這些敏感信息,進而發動更為復雜的網絡攻擊。
更令人擔憂的是,在iOS 18.2版本之前,蘋果并未強制“Passwords”應用使用更為安全的HTTPS協議進行通信,同時也沒有提供關閉圖標下載功能的選項。這導致應用頻繁向外部網站發送未加密的請求,極大地增加了用戶數據泄露的風險。
好在,蘋果公司在意識到這一安全漏洞后迅速采取了行動。在2024年12月發布的iOS 18.2更新中,蘋果修復了“Passwords”應用的安全漏洞,并默認啟用了加密協議,從而避免了未受保護的HTTP連接帶來的風險。蘋果還在隨后的3月17日更新日志中明確了這一修復措施,以確保用戶能夠及時了解并更新自己的系統版本。
