Appleの最近発売されたPasswordsアプリは、3か月近くフィッシング攻撃に対して脆弱であり、その後、会社がソフトウェアアップデートでこの問題に静かにパッチを当てました。 MySkのセキュリティ研究者は、iOS 18で導入されたアプリが、保存された資格情報にリンクされたWebサイトのアイコンを取得するために、暗号化されていないHTTPリクエストを行っていることを発見しました。この欠陥は、潜在的な攻撃ベクトルを作成し、同じWi-Fiネットワーク上のハッカーがこれらの要求を傍受して操作できるようにし、ユーザーに悪意のあるサイトに向けられます。
脆弱性により、攻撃者は正当なWebサイトのアイコンを偽のウェブサイトのアイコンに置き換え、ユーザーにフィッシングサイトの資格情報を入力するように抑制することができました。 Appleは現在、すべての接続にHTTPを実施することによりiOS 18.2で問題を修正しましたが、この発見はセキュリティに焦点を当てたアプリケーションでの最初の監視に関する懸念を提起します。
パスワードは、1PasswordやBitwardenなどの専用パスワードマネージャーに対するAppleの回答が、統合されたセキュリティソリューションのより広範なプッシュの一環として導入されました。このアプリは、iCloudキーチェーンを介してデバイス間で資格情報を同期し、簡単なログインのためにオートフィル機能を提供します。ただし、このセキュリティの失効は、Appleの気密プライバシーに対するコミットメントに対する信頼を止める可能性があります。
もっと読む:アップルからパッチ画面の時間の欠陥、しかし信頼は親にとって不安定なままです
セキュリティの専門家は、ユーザーがデバイスをiOS 18.2以降に更新して、潜在的なリスクを軽減することを推奨しています。さらに、可能な限り2要素認証(2FA)を使用することをお勧めします。
Appleがプライバシーファースト企業としての地位をますます位置づけているため、この事件は、サービスの拡大するエコシステム全体でセキュリティを維持するという課題を強調しています。この修正は、特に機密性の高いユーザーデータを処理するアプリケーションにとって、継続的なセキュリティ監査の重要性を強調しています。
ソース9to5mac