Een bug in de iOS -wachtwoord -app die betekende dat de iPhone -gebruikers vatbaar waren voor potentiële visaanvallen, waarschijnlijk opgelost nadat ze jarenlang aanwezig waren.
In een opmerking over de veiligheid ervan PaginaApple beschreef het probleem als één, waarbij “een gebruiker in het geval van een bevoorrecht netwerk mogelijk gevoelige informatie kan lekken.” Tech Veteran zei dat het probleem was opgelost met behulp van HTTPS tijdens het verzenden van informatie over het netwerk.
De eerste ontdekte bug werd in september gemeld door beveiligingsonderzoekers van Mysk, maar leek enkele maanden onvolledig. Woensdag, in een tweet, Zei Musk Het Apple -wachtwoord gebruikte standaard een onveilige HTTP omdat de gecompromitteerde wachtwoorddetectiefaciliteit werd geïntroduceerd in iOS 14, die in 2020 werd vrijgegeven.
Mysk tweette: “De iPhone -gebruikers waren jarenlang onveilig voor vissen, niet maanden.” “De wachtwoord -app gewijd aan iOS18 was in wezen een herhaling van de oude wachtwoordbeheerder die in de instellingen zat, en het nam het met al zijn bugs.”
Hij zei: er is heel weinig mogelijkheid dat iemand in deze bug valt. De bug werd ook behandeld in veiligheidsupdates voor andere producten, waaronder Mac, iPad en Vision Pro.
In het bijschrift van één YouTube -video Onderzoekers benadrukten het probleem van Mysk en lieten zien hoe de iOS 18 de app -link opende en het downloaden van een accountpictogram op de onbeschermde HTTP standaard, wat het verzwakte voor de visaanvallen. De video benadrukt hoe een aanvaller met netwerktoegang kan stoppen en verzoeken op een kwaadwillende site kan omleiden.
Als 9to5macHet probleem is een probleem wanneer de aanvaller plaatsvindt op hetzelfde netwerk van de gebruiker, zoals de coffeeshop of luchthaven, en de HTTP het verzoek onderschepte voordat het wordt omgeleid.
Apple heeft niet gereageerd op het verzoek om commentaar over het probleem of verstrekte verdere details.
Mysk verklaarde dat het spotten van de bug niet in aanmerking kwam voor een geldelijke beloning omdat deze niet aan de effectnormen voldeed of niet in gekwalificeerde categorieën viel.
“Ja, het lijkt erop dat een bedrijf van $ 3 biljoen liefdadigheidswerk moet doen,” het bedrijf Getweet,, “We hebben dit niet voornamelijk gedaan voor geld, maar het laat zien hoe Apple onafhankelijke onderzoekers waardeert. We hadden sinds september 2024 veel tijd doorgebracht en probeerden te overtuigen om te overtuigen dat het een bug was. We zijn blij dat het het deed. En we zullen het opnieuw doen.”
Een potentiële beveiligingsslip -up
Georgia Cook, een beveiligingsanalist bij ABI Research, noemde het probleem “geen kleine fi-bug”.
“Dit is zelfs een geweldige slip van de appel,” zei Cook. “Voor de gebruiker heeft het betrekking op de kwetsbaarheid om falen in het basisveiligheidsprotocol aan te tonen, waardoor ze worden blootgesteld als een lange -run -aanval die beperkte verfijning vereist.”
Volgens Cook zullen de meeste mensen waarschijnlijk niet over het probleem worden uitgevoerd, omdat het een zeer specifieke reeks omstandigheden vereist, zoals ervoor kiezen om hun login bij te werken bij de wachtwoordbeheerder, het te doen op het openbare netwerk en als u wordt hersteld, is het niet om het op te merken. Hij zei, het is een goede herinnering waarom het zo belangrijk is om uw apparatuur regelmatig bij te werken.
Hij zei dat mensen extra stappen kunnen nemen om zichzelf te beschermen tegen zulke zwakke punten, vooral op een gedeeld netwerk. Dit omvat het vermijden van gevoelige transacties zoals routeringsapparaatverkeer, referentieverandering op openbare Wi-Fi via een virtueel privénetwerk en niet hergebruiken van wachtwoorden.
