Apple устранила критическую уязвимость в приложении «Пароли»

Apple исправила опасную уязвимость в приложении «Пароли» с выходом обновления iOS 18.2. Ошибка существовала с момента релиза iOS 18 и оставалась незамеченной в течение трех месяцев, подвергая пользователей риску фишинговых атак.

Исследователи безопасности из компании Mysk обнаружили, что приложение загружало логотипы и значки веб-сайтов через незащищенный HTTP-протокол. Это позволяло злоумышленнику в той же Wi-Fi сети, например, в кафе или аэропорту, перехватывать запросы и перенаправлять пользователя на фишинговые сайты. Кроме того, приложение по умолчанию открывало страницы сброса пароля через HTTP, что также создавало угрозу безопасности.

Исследователи сообщили об уязвимости Apple еще в сентябре 2024 года. Компания исправила проблему в декабре, но раскрыла эту информацию только сейчас. В обновлении iOS 18.2 (а также iPadOS, macOS и visionOS) приложение «Пароли» теперь использует только HTTPS для всех подключений.

Apple рекомендует всем пользователям обновить свои устройства до актуальной версии операционной системы для защиты от возможных атак.