| 18 марта 2025 г. — 9:36 PT
В iOS 18 Apple выделила инструмент управления паролями из iCloud Keychain, ранее доступный только в «Настройках», в отдельное приложение под названием «Пароли». Это был первый шаг компании по повышению удобства управления учетными данными для пользователей. Теперь стало известно, что серьезный баг HTTP оставлял пользователей «Паролей» уязвимыми для фишинговых атак почти три месяца, с момента первоначального выпуска iOS 18 до исправления в iOS 18.2.
Исследователи безопасности из Mysk первыми обнаружили уязвимость, заметив, что в отчете «Конфиденциальность приложений» их iPhone показал, что «Пароли» установили связь с ошеломляющими 130 различными веб-сайтами через незащищенный HTTP-трафик. Это побудило дуэт к дальнейшему расследованию, в ходе которого выяснилось, что приложение не только загружало логотипы учетных записей и значки через HTTP, но и по умолчанию открывало страницы сброса паролей, используя незашифрованный протокол. «Это оставляло пользователя уязвимым: злоумышленник с привилегированным сетевым доступом мог перехватить HTTP-запрос и перенаправить пользователя на фишинговый веб-сайт», — сообщили Mysk изданию 9to5Mac.
Mysk демонстрирует, как может быть осуществлена фишинговая атака:
«Мы были удивлены, что Apple не стала по умолчанию использовать HTTPS для такого важного приложения», — заявляет Mysk. «Кроме того, Apple должна предоставить возможность для пользователей, заботящихся о безопасности, полностью отключить загрузку значков. Мне некомфортно, когда мой менеджер паролей постоянно обращается к каждому веб-сайту, для которого я храню пароль, хотя запросы, которые отправляет приложение «Пароли», не содержат никаких идентификаторов».
Большинство современных веб-сайтов в наши дни разрешают незашифрованные HTTP-соединения, но автоматически перенаправляют их на HTTPS с использованием перенаправления 301. Важно отметить, что хотя приложение «Пароли» до iOS 18.2 делало запрос через HTTP, оно перенаправлялось на безопасную версию HTTPS. В обычных условиях это было бы совершенно нормально, поскольку изменения пароля происходят на зашифрованной странице, гарантируя, что учетные данные не отправляются в открытом тексте.
Однако это становится проблемой, когда злоумышленник находится в той же сети, что и пользователь (например, Wi-Fi в Starbucks, аэропорту или отеле) и перехватывает первоначальный HTTP-запрос до того, как он будет перенаправлен. Отсюда они могут манипулировать трафиком несколькими способами. Как видно на демонстрации Mysk выше, это включает изменение запроса для перенаправления на фишинговый сайт, похожий на страницу live.com от Microsoft. После этого злоумышленник может легко собрать учетные данные жертв и даже запустить другие атаки.
Хотя эта проблема была тихо исправлена в декабре прошлого года, Apple только раскрыла ее за последние 24 часа. Теперь приложение «Пароли» по умолчанию использует HTTPS для всех соединений, поэтому убедитесь, что на ваших устройствах установлена как минимум версия 18.2! Я не удивлюсь, если эта новость пройдет незамеченной. Делитесь для повышения осведомленности!