在申请中发现安全缺陷之间已经过去了三个月及其更正。这种脆弱性虽然需要利用特定条件,但可以允许恶意演员拦截敏感数据在某些网络环境中。
HTTP:不良选择
2024年9月启动iOS 18时,苹果都呈现以及其新的密码应用程序,被描述为对您的标识符的令人叹为观止的安全性。但是,有一个问题。技术上的不一致。尽管该应用程序旨在保护您的机密数据,但它在没有加密的情况下而不是在HTTPS上部分操作了HTTP协议。因此有一些信息在转移过程中不受加密保护。
Mysk研究人员发现的这种异常现象可能违反了。具体而言,在打开应用程序的链接时,具有相同Wi-Fi网络的恶意个人可以捕获通信,然后替换伪造的连接页面以恢复您的标识符。
苹果于9月告知,苹果等待着12月,堵塞这个故障。公司甚至有直到2025年3月17日,一直对此事件保持沉默,媒体上的日期9to5mac揭示了案件;可能等待足够数量的用户更新。
有限的脆弱性
幸运的是,对这个缺陷的剥削需要精确的情况,这在相对罕见的实践中实现了。为此,用户应该必须通过折衷的Wi-Fi网络(如咖啡或机场)连接,打开密码应用程序,选择密码,然后单击应用程序中的链接以重定向到连接页面。同时,攻击者必须监视和拦截此流量,以通过假冒连接页面引诱它
密码的自填充函数不受影响,在正常使用中,Web服务器的默认行为通常会触发HTTP自动重定向到HTTPS查询,理论上限制了曝光。专家认为,这种漏洞已大规模使用的可能性因此保持极低。
如果您担心,最简单的解决方案仍然存在更新所有设备向。如果您从未使用过密码应用程序中的链接连接到网站,请你没有理由警告自己。作为额外的预防措施,您始终可以更改最敏感的密码:银行,消息传递等。但再次这些在野外徘徊的机会很低。
- 三个月后发现并纠正了iOS 18密码应用程序中的安全漏洞。
- 在实践中,对这种脆弱性的开发非常有限。
- 将iPhone更新为最新版本的iOS足以消除任何风险。
i -nfo.fr- iphon.fr官方应用
平等:Ag Tescience
