Az Apple 2024 szeptemberében, az iOS 18-as frissítés fedélzetén mutatta be az új jelszókezelő alkalmazását (ennek magyar neve Jelszavak lett). Ez a korábban a Beállításokban található kulcskarika továbbfejlesztett változata, ám most kiderült, hogy az első pár hónapban egy súlyos sebezhetőség volt az appban, ami egy jelszókezelőnél elég aggasztó.
Erre a Mysk biztonsági kutatói figyeltek fel először a birtokukban lévő iPhone adatvédelmi jelentése nyomán – ilyet minden készülék ki tud állítani. A szakemberek úgy találták, hogy a Jelszavak app 130 különböző weboldallal lépett kapcsolatba nem biztonságos HTTP-protokollon keresztül. Amikor tovább vizsgálódtak, úgy találták, az alkalmazás nem csak fióklogókat és ikonokat hívott le a nem biztonságos kapcsolaton keresztül, hanem így nyitotta meg a jelszó-helyreállító oldalakat is.
Ez a Mysk kutatói szerint azért gond, mert a megfelelő hálózati hozzáféréssel rendelkező támadó „elkaphatta” ezt a HTTP-kérést, és átirányíthatta a felhasználót egy adathalász oldalra – részletezi a megállapításokat a 9to5Mac. Arról, hogyan lehetett egy támadást kivitelezni a módszerrel, egy videót is közreadtak a kutatók:
A szakembereket meglepte, hogy az Apple nem követelte meg alapértelmezetten a biztonságosabb HTTPS-protokollt, és azt sem tartják jó ötletnek, hogy az alkalmazás egyfolytában pásztázza az mentett jelszavakhoz tartozó weboldalakat, hogy lekérje azok ikonjait. Az Apple az iOS 18.2-es frissítéssel javította a hibát, és már minden kapcsolatot HTTPS-se indít a Jelszavak app.
Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.
