Apple обнаружила уязвимость в приложении "Пароли", которая существовала месяцами

Apple исправила ошибку в приложении "Пароли" для iOS 18.2, которая в течение трех месяцев с момента выпуска iOS 18 делала пользователей уязвимыми для фишинговых атак. Об этом стало известно из обновления контента безопасности Apple, замеченного ресурсом 9to5Mac. Вот как Apple описывает ошибку и ее исправление:

Воздействие: Пользователь, находящийся в привилегированной сетевой позиции, может получить доступ к конфиденциальной информации.

Описание: Эта проблема была решена путем использования HTTPS при отправке информации по сети.

Как пишет 9to5Mac, приложение "Пароли" отправляло незашифрованные запросы на логотипы и значки, которые оно отображает рядом с сайтами, к которым привязаны ваши сохраненные пароли. Отсутствие шифрования означало, что злоумышленник в той же Wi-Fi сети, что и вы, например, в аэропорту или кафе, мог перенаправить ваш браузер на поддельный фишинговый сайт для кражи ваших учетных данных.

Эта уязвимость была впервые обнаружена исследователями безопасности из компании-разработчика приложений Mysk. В описании видео на YouTube, демонстрирующем ошибку, Mysk пишет, что они впервые сообщили об уязвимости в сентябре. Apple описывает ту же ошибку в обновлениях контента безопасности для Mac, iPad и Vision Pro.