苹果密码应用漏洞被披露：黑客可钓鱼窃取凭证，iOS 18.2 已修复

IT之家 3 月 19 日报导称，科技媒体 9to5Mac 日前发布文章指出，在iOS 18.2版本之前，安全公司Mysk的团队发现了iPhone官方独立应用“Passwords”中存在的HTTP协议漏洞。

IT之家提醒称，苹果公司在2024年9月推出了独立的密码管理应用“Passwords”，直到2024年12月的iOS 18.2版本修复了此漏洞。这一漏洞存在时间长达3个月，用户可能面临钓鱼风险。

安全团队表示，Passwords应用曾经通过不安全的HTTP协议与130个网站进行通信，包括获取账户图标和默认的密码重置页面。研究人员认为，一旦用户连接到公共WiFi后，黑客就可以拦截Passwords应用发送的初始HTTP请求。

接着，黑客会将用户重定向到伪造的钓鱼页面（如伪造的微软live.com），用户在输入密码后，攻击者便可直接获得凭证，从而进一步发动攻击。值得一提的是，在iOS 18.2之前的版本中，苹果未强制要求使用加密的HTTPS协议，并且未提供关闭图标下载的选项，导致应用频繁向网站发送请求。

苹果在2024年12月发布的iOS 18.2更新中，通过默认使用加密协议来修复了Passwords应用的漏洞，避免了未受保护的HTTP连接。

广告声明：文中含有的外部链接仅供参考，节省您的选择时间。