V iOS 18 Apple převedl správce hesel Keychain do samostatné aplikace Hesla, aby uživatelům usnadnil správu přihlašovacích údajů. Nyní však bezpečnostní experti odhalili, že vážná chyba v této aplikaci ponechala uživatele zranitelné vůči phishingovým útokům téměř tři měsíce. A to od prvního vydání iOS 18 až do opravy v iOS 18.2. Chybu odhalili výzkumníci z Mysk poté, co si všimli, že jejich iPhone v rámci App Privacy Report kontaktoval přes 130 webových stránek přes nezabezpečený protokol HTTP. Další analýza ukázala, že aplikace nejen stahovala loga a ikony účtů přes nezabezpečené připojení, ale také otevírala stránky pro reset hesel pomocí HTTP. To umožňovalo útočníkům na stejné síti přesměrovat uživatele na podvodné stránky a získat jejich přihlašovací údaje.
Mohlo by vás zajímat
Odborníci byli překvapeni, že Apple nepoužil HTTPS jako výchozí možnost pro tak citlivou aplikaci. Zdůraznili také, že by uživatelé měli mít možnost vypnout stahování ikon z webů. Přestože většina moderních stránek automaticky přesměrovává HTTP požadavky na HTTPS, pokud se útočník připojí ke stejné síti jako oběť, může přesměrování zachytit a podvrhnout falešnou stránku. Apple chybu tiše opravil v prosinci, ale veřejnost o ní informoval až nyní. V současnosti už Hesla používá výhradně HTTPS, takže uživatelé by měli mít nainstalovanou minimálně verzi iOS 18.2.
Fotogalerie
