התגלה פגם ביישום סיסמת האייפון. זה מאפשר לתוקפים ליירט בקשות לא מובטחות שנשלחו על ידי היישום להפנות את המשתמש בדף דיוג זדוני. לאחר שלושה חודשים, אפל תיקנה סוף סוף את התקלה.
פגיעות ביישום הסיסמאות החדשות ("סיסמאות"), שנחנכה בהעדכון iOS 18, התגלה על ידי חוקרי הבטיחות שלמוּשָׁקו כפי שחוקרים מסבירים לעמיתינו9to5mac, הפגם הופך את המשתמשים לאייפוןפגיע להתקפות דיוג.
בקשות HTTP ביישום Apple רגיש
בהתחלה, מומחים הבינו שהבקשה של אפל נשלחהבקשות HTTP לא מאובטחותכדי להשיג את הלוגואים והסמלים של 130 אתרי אינטרנט. אלמנטים אלה שימשו להמחשת אתרים הקשורים לסיסמאות המוקלטות שלך. כברירת מחדל, דפי איפוס סיסמה משתמשים גם ב- HTTP.
ללא סיבה מסוימת, אפל לא רצתה לכפות את השימוש ב- HTTPS, בטוח יותר מה- HTTP, באפליקציה. פרוטוקול HTTP מעביר נתוני טקסט ברורים, ללא הצפנה, אשר פותח את הדלת פתוחה להתקפות סייבר. לעומת זאת, תקן HTTPS מבוסס על נתונים מוצפנים באמצעות פרוטוקולי SSL/TLS.
"הופתענו שאפל לא החלה את ברירת המחדל HTTPS ליישום רגיש כזה. בנוסף, על אפל להציע אפשרות למשתמשים בטיחותיים להוריד סמלים לחלוטין. אני לא מרגיש בנוח עם מנהל הסיסמאות שלי ששולח כל הזמן פינג לכל אתר שעבורו אני שומר על סיסמה ", סיכמו את חוקרי מיסק, מופתעים מהגישה שנבחרה על ידי אפל.
בקשות לא מאובטחות יכולות להיותיורט על ידי אדם המחובר לאותה רשת Wi-Fiשהאייפון של היעד. בסופו של דבר הוא יכול"הפנה את המשתמש לאתר דיוג"ו לאחר מכן אתר זדוני זה יכול לבקש את הנתונים האישיים של המשתמשים, כולל מזהים וסיסמאות. החוקרים לוקחים את הדוגמה של דף דיוג המחקה את האתר הרשמי של מיקרוסופט למשל. משוכנע להיות באתר Microsoft, היעד יכול להזין את המזהים המקושרים לחשבונו כדי להתחבר אליו. התקלה פותחת את הדלת להתקפות יעילות מאוד העוברות דרך Wi-Fi ציבורית, כמו אלה של שדה תעופה, קפה, מסעדה או מלון.
אפל מתקן את הזריקה עם iOS 18.2
Apple תוקנה את הפגיעות על ידי חוקרי MySk. ענקית קופרטינו כללה תיקון בעדכון iOS 18.2. עַלאתר בן, אפל מודה כי א"המשתמש במיקום מיוחס של הרשת עשוי להיות מסוגל לחשוף מידע רגיש"על ידי ניצול התקלה. הקבוצה מעוררת גם אפגם שני, מקושר לראשון, שיאפשר"תוקף בעמדה מיוחסת של הרשת"שֶׁל"שנה תנועת רשת"ו
התקלה נותרה פעורה במהלךמשך שלושה חודשים, בין פריסת iOS 18 לבין הגעתו של iOS 18.2. אפל מוסיפה את זה"הבעיה נפתרה על ידי שימוש ב- HTTPS בעת שליחת מידע הרשת"ו על ידי הימנעות מבקשות HTTP לא מאובטחות, אפל מונעת מחלוץ אפשרי ליירט תקשורת. שים לב שאפל תיקן את התקלהiOS 18.2, פרוס בינואר האחרון, אך רק התקשר בנושא זה.
🔴 לא להחמיץ שום חדשות 01net, עקוב אחרינוחדשות גוגלETWhatsAppו
מקור: 9to5mac
