iOS 18では、Appleは、パスワードと呼ばれるスタンドアロンアプリのために、キーチェーンパスワード管理ツール(設定にのみ残すだけ)を紡ぎました。これは、資格管理をユーザーにとってより便利にするための同社の最初の動きでした。現在、深刻なHTTPバグは、iOS 18の最初のリリースからiOS 18.2のパッチまで、3か月近くフィッシング攻撃に対して脆弱なパスワードユーザーを残したことが明らかになりました。
のセキュリティ研究者 ムスク 彼らのiPhoneのことに気づいた後、最初に欠陥を発見しました アプリプライバシーレポート 表示されたパスワードは、不安定なHTTPトラフィックをめぐる驚異的な130の異なるWebサイトに連絡していました。これにより、デュオはさらに調査するようになり、アプリがHTTPを介してアカウントのロゴとアイコンを取得しただけでなく、暗号化されていないプロトコルを使用してパスワードリセットページを開くこともデフォルトでした。 「これにより、ユーザーは脆弱になりました。特権ネットワークアクセスを備えた攻撃者は、HTTPリクエストを傍受し、ユーザーをフィッシングWebサイトにリダイレクトすることができます」とMySkによると 9to5mac。
ムスクが示しています フィッシング攻撃の実行方法:
「Appleがこのような敏感なアプリにデフォルトでHTTPSを実施しなかったことに驚きました」とMySkは述べています。 「さらに、Appleは、セキュリティに配慮したユーザーがダウンロードアイコンを完全に無効にするオプションを提供する必要があります。パスワードが送信されている場合でも、パスワードを維持する各Webサイトを常にpingingしているパスワードマネージャーに慣れていません。」
最近のほとんどのWebサイトでは、暗号化されていないHTTP接続が許可されていますが、301リダイレクトを使用して自動的にHTTPSにリダイレクトしています。 iOS 18.2の前のパスワードアプリはHTTPを介してリクエストを行うが、Secure HTTPSバージョンにリダイレクトされることに注意することが重要です。通常の状況では、パスワードの変更が暗号化されたページで発生し、資格情報が平文で送信されないことを保証するため、これはまったく問題ありません。
ただし、攻撃者がユーザー(つまり、スターバックス、空港、またはホテルWi-Fi)と同じネットワークに接続され、リダイレクトする前に最初のHTTP要求をインターセプトすると問題になります。ここから、彼らはいくつかの方法でトラフィックを操作することができました。上記のMySkのデモで見られるように、これには、MicrosoftのLive.comページに似たフィッシングサイトをリダイッシングするリクエストの変更が含まれます。攻撃者は、被害者から簡単に資格情報を収集し、他の攻撃を開始することさえできます。
これは昨年の12月に静かにパッチをかけられましたが、Appleだけ 開示 過去24時間で。パスワードアプリは、すべての接続にデフォルトでHTTPSを使用するようになりました。そのため、デバイスで少なくとも18.2を実行していることを確認してください。このニュースがレーダーの下で遠くに移動しても驚かないでしょう。意識のために共有!