Apple atklāja kļūdu programmā Passwords, kas trīs mēnešu laikā padarīja iPhone lietotājus neaizsargātus pret pikšķerēšanas uzbrukumiem.
Saskaņā ar 9to5Mac datiem, programma Passwords ielādēja logotipus un ikonas no kontiem, izmantojot nešifrētu HTTP protokolu, un ar to pašu atvēra paroles atiestatīšanas lapas. Šifrēšanas trūkums nozīmē, ka ļaundaris tajā pašā Wi-Fi tīklā, kur jūs (piemēram, publiskā, lidostā vai kafejnīcā), varēja pārtvert jūsu pieprasījumu un novirzīt uz līdzīgu vietni, lai nozagtu jūsu piekļuves datus.
Par šo problēmu pirmie ziņoja drošības pētnieki no aplikāciju izstrādātāja Mysk, kuri pamanīja, ka iPhone konfidencialitātes pārskats norāda, ka Passwords ir sazinājies ar vairāk nekā 130 tīmekļa vietnēm, izmantojot nešifrētu HTTP.
«Mūs pārsteidza, ka Apple pēc noklusējuma neizmanto HTTPS tik jutīgai lietotnei», — saka Mysk pētnieks. «Turklāt Apple būtu jāpiedāvā lietotājiem iespēja pilnībā atslēgt ikonu ielādi. Es jūtos neērti, ka mans paroļu pārvaldnieks nepārtraukti piekļūst katrai vietnei, kurai es glabāju paroli, pat ja šie pieprasījumi, kas tiek nosūtīti ar Passwords, nesatur nekādus identifikatorus».
Galu galā Apple izlaboja kļūdu ar decembra iOS 18.2 atjauninājumu (taču par to ziņoja tikai tagad), tomēr problēma pastāvēja trīs mēnešu garumā, tādējādi zināms skaits lietotāju jau varēja saskarties ar pikšķerēšanu.
Apple Passwords ir paroļu pārvaldības programma, kas pirmo reizi tika prezentēta ar OS 18, iPadOS 18, macOS Sequoia un visionOS 2 rudenī. Pamatā tā ir alternatīva iCloud Keychain, kas logus sadala dažādās kategorijās, piemēram, lietotāju konti, Wi-Fi tīkli un piekļuves atslēgas.
Komentāri (0)
Šobrīd nav neviena komentāra