從當密碼應用程序首次亮相到iOS 18.2更新時,用戶可以將密碼暴露於特權網絡上的壞演員,但是您可能會安全。
蘋果發行了iOS 18使用新的密碼應用程序,但是在打開鏈接或獲取圖標時,它依賴於更安全的HTTP協議,而不是HTTP。這意味著特權網絡上的壞演員可以攔截HTTP請求,並將用戶重定向到假網站並收穫登錄名。
安全研究公司Mysk發現了這個問題,並於9月份將其報告給Apple,並於12月對iOS 18.2進行了修補。這意味著該脆弱性在野外生活了三個月,並繼續為在iOS 18.2之前運行發布的任何人。
蘋果沒有透露到2025年3月17日的脆弱性或補丁 - 發現 9to5mac。這很可能保護仍未更新的用戶,並在達到一定的閾值之前將問題保留在包裹中。
如果有人在iOS 18.2之前仍在運行任何內容,則應盡快更新。但是,由於攻擊矢量的特異性,任何人的目標都極不可能成為脆弱性。
為了通過Apple密碼應用程序公開密碼,用戶需要:
- 在Wi-Fi網絡上,也可能是咖啡店或機場等不良演員。
- 壞演員需要知道脆弱性並積極試圖利用它。
- 用戶將需要打開Apple密碼,打開密碼,然後點擊應用程序中的鏈接以重定向到密碼應用程序登錄。
- 壞演員需要尋找此問題並攔截流量,在假登錄頁面中交換您要聯繫的網站。
使用自動填充功能,密碼應用程序被用來登錄應用程序或網站時並不脆弱。它僅在從應用程序啟動登錄頁面時發生。
在不良演員滲透的網絡之外的密碼應用程序的一般使用是無害的,因為HTTP請求將自動重定向到HTTPS。在野外利用脆弱性的可能性很小。
如何處理密碼應用程序漏洞
如果您對這種脆弱性感到擔憂,那麼今天可以採取幾個步驟。最明顯的是將所有設備操作系統更新為最新版本。
回想一下您對密碼應用程序的使用。如果您從未更改密碼或嘗試使用密碼應用程序中的鏈接登錄,或者甚至沒有意識到這是可能的,那麼您就可以了。
如果您仍然擔心,那麼更改一些更敏感帳戶的密碼絕不是一個壞主意。為您的銀行,電子郵件,工作和其他重要帳戶更新密碼。
