近期,科技新闻领域传来一则关于苹果iOS系统的安全警报。据科技博客9to5Mac报道,安全专家团队Mysk在深入分析了iPhone的“App隐私报告”后,揭露了一个令人担忧的安全漏洞。该漏洞存在于苹果官方推出的独立密码管理应用“Passwords”中,且影响范围覆盖从iOS 18发布至iOS 18.2更新的时段。
具体而言,这一安全漏洞允许“Passwords”应用在未经加密的情况下,通过HTTP协议与多达130个网站进行通信。这些通信内容涵盖了账户图标的获取以及默认密码重置页面的打开等操作。值得注意的是,iOS 18版本于2024年9月正式推出,而“Passwords”应用的这一安全隐患直到同年12月发布的iOS 18.2版本中才得以修复,期间用户长达三个月处于潜在风险之中。
Mysk团队进一步指出,当用户连接至公共WiFi网络时,恶意黑客有可能拦截到“Passwords”应用发出的HTTP请求。通过这一手段,攻击者能够将用户重定向至精心设计的钓鱼页面,这些页面往往伪装成知名网站,如微软的live.com。一旦用户在钓鱼页面上输入了自己的密码,攻击者便能轻松获取这些敏感信息,进而发动更为复杂的网络攻击。
更令人担忧的是,在iOS 18.2版本之前,苹果并未强制“Passwords”应用使用更为安全的HTTPS协议进行通信,同时也没有提供关闭图标下载功能的选项。这导致应用频繁向外部网站发送未加密的请求,极大地增加了用户数据泄露的风险。
好在,苹果公司在意识到这一安全漏洞后迅速采取了行动。在2024年12月发布的iOS 18.2更新中,苹果修复了“Passwords”应用的安全漏洞,并默认启用了加密协议,从而避免了未受保护的HTTP连接带来的风险。苹果还在随后的3月17日更新日志中明确了这一修复措施,以确保用户能够及时了解并更新自己的系统版本。
