עם ההשקה של iOS 18, אפל שינתה את כלי ניהול האישורים שלה, שהוסתר בעבר בהגדרות המערכת, לאפליקציה אוטונומית אמיתית: סיסמאות. בחירה זו נועדה להפוך אתניהול הסיסמאות הנוח ביותר למשתמשיםאך הביא איתו סיכון בלתי צפוי. במשך כמעט שלושה חודשים האפליקציה הייתה חשופה לבאג מסוכן שאיפשר לתוקף עם גישה לרשת כדי להסיט את בקשות איפוס הסיסמה באתרי דיוג. הבעיה התגלתה על ידי חוקרי אבטחת Mysk, שניתחו את התנועה של האפליקציה החדשה, וגילו כי 130 אתרי אינטרנט פנו באמצעות חיבורי HTTP ולא נתונים.
השגיאה העיקרית נוגעת לאופן בו סיסמאות ניהלו את התאוששות האישורים. האפליקציה, לפני עדכון iOS 18.2,הוא לא הכריח את השימוש בפרוטוקול HTTPSלבקשות לאיפוס הסיסמה ולשחזור סמלי האתרים. התנהגות זו הותירה מקום להתקפה המכונה איש-בעמד, מסוכן במיוחד ברשתות ציבוריות כמו ברים, שדות תעופה ומלונות.
כרגע ל- x/טוויטר יש בעיות
ולא ניתן לטעון את הפוסט
האקר המחובר לאותה רשת Wi-Fi של המשתמש יכול היה להיותליירט את בקשת HTTP לא מוצפנתלפני שזה הופנה אוטומטית לחיבור HTTPS מאובטח. באופן זה, הוא יכול היה להסיט את המשתמש לדף דיוג זהה למקור, ולגרום לו להכניס את תעודותיו לאתר זדוני.
התיקון של אפל וההגנה החדשה ב- iOS 18.2
הפגיעות הייתה נכונה בשקטבדצמבר עםשחרור iOS 18.2, אך אפל העבירה רשמית את הבעיה רק ביממה האחרונה. עם העדכון, אפליקציית הסיסמאות משתמשת ב- HTTPS לכל החיבורים, ומונעת כל ניסיון ליירוט על ידי רעים.
לדברי Mysk, אפל צריכה להיותליישם מדד זה מאז השקת iOS 18ו בנוסף, מומחי אבטחה מציעים כי קופרטינו יכול להציע למשתמשים אפשרות לבטל את ההורדה האוטומטית של סמלי האתרים, ולהימנע מבקשות מיותרות לשרתים חיצוניים.
