蘋果公司最近揭露了一個持續了數月的漏洞,影響了其 iOS 18.2 中的密碼應用程式。根據 9to5Mac 的報導,這個漏洞使得使用者在三個月的時間內面臨網路釣魚攻擊的風險,這段時間正是 iOS 18 發布後的初期。
該漏洞的影響範圍相當廣泛,任何在特權網路位置的使用者都可能洩露敏感資訊。具體來說,密碼應用程式在向使用者顯示儲存密碼所關聯網站的標誌和圖標時,發送了未加密的請求。這一缺陷使得在同一Wi-Fi網路上的攻擊者(例如在機場或咖啡館)能夠將使用者的瀏覽器重定向至類似的釣魚網站,進而竊取登入憑證。
這一問題由應用開發者Mysk的安全研究人員首次發現,他們在9月報告了這一漏洞。蘋果公司隨後在其安全內容更新中描述了此漏洞及其修復方法,強調在網路上發送訊息時使用HTTPS協議來保障安全。
▲ Mysk示範如何進行網路釣魚攻擊。
隨著蘋果推出的密碼應用程式,原本隱藏在設置中的Keychain密碼管理工具被獨立出來,這是蘋果公司為了讓使用者更方便地管理憑證所做的首次嘗試。然而,這次的漏洞顯示出即使是大型科技公司也可能在安全性上出現失誤,提醒使用者在使用公共Wi-Fi時需格外謹慎。蘋果對此漏洞的修復已在iOS 18.2中正式推出,並在Mac、iPad及Vision Pro的安全內容更新中也做出相應說明。
- Apple has revealed a Passwords app vulnerability that lasted for months
- Apple’s Passwords app was vulnerable to phishing attacks for nearly three months after launch
(首圖來源:pixabay)
文章看完覺得有幫助,何不給我們一個鼓勵
科技新報粉絲團
加入好友
訂閱免費電子報
