עברו שלושה חודשים בין גילוי פגם בטיחותי ביישוםiOS 18והתיקון שלה. פגיעות זו, אף שהיא דרישה לניצול תנאים ספציפיים, יכולה הייתה לאפשריירוט נתונים רגישים על ידי שחקנים זדונייםבסביבות רשת מסוימות.
HTTP: הבחירה הרעה
בעת השקת iOS 18 בספטמבר 2024, אפל הוצגה כולםמוצרים חדשים גדוליםכמו גם יישום הסיסמאות החדש שלה, המתואר ככספת עוצרת נשימה עבור המזהים שלך. עם זאת, הייתה בעיה; חוסר עקביות טכני. בעוד שהיישום נועד להגן על הנתונים הסודיים שלך, הוא פעל בחלקו בפרוטוקול HTTP, ללא הצפנה, ולא על HTTPS. לכן מידע כלשהו היהלא מוגן על ידי הצפנה במהלך העברתםו
אנומליה זו, שנצפה על ידי חוקרי Mysk, יצרה הפרה אפשרית. באופן קונקרטי, אדם זדוני השותף לאותה רשת Wi-Fi יכול לתפוס באופן תיאורטי תקשורת בעת פתיחת קישור מהיישום, ואזהחלף דף חיבור מזויף כדי לשחזר את המזהים שלךו
הודיע בספטמבר, אפל חיכתה לדצמברשחרורו של iOS 18.2לסתום את התקלה הזו. לחברה יש אפילושקט על אירוע זה עד 17 במרץ 2025, תאריך עליו התקשורת9to5macחשף את המקרה; ככל הנראה כדי לחכות למספר מספיק של משתמשים לעדכן.
פגיעות מוגבלת
למרבה המזל, ניצול פגם זה דרש יישור מדויק של הנסיבות,מה שהפך את מימושו בתרגול נדיר יחסיתו לשם כך, המשתמש היה צריך להידרש להתחבר באמצעות רשת Wi-Fi שנפגעה (כמו בקפה או בשדה תעופה), לפתוח את אפליקציית הסיסמה, לבחור סיסמא ולחץ על קישור ביישום כדי להפנות לדף חיבור. במקביל, התוקף נאלץ לפקח וליירט תנועה זו כדי לפתות אותה עם דף חיבור מזויף
פונקציית המילוי העצמי של סיסמאות לא הושפעה ובשימוש רגיל, התנהגות ברירת המחדל של שרתי אינטרנט בדרך כלל תפעיל הפניה אוטומטית של HTTP לשאילתות HTTPS, ומגבילה תיאורטית את החשיפה. לדברי מומחים, ההסתברות שפגיעות זו שימשה בקנה מידה גדוללכן נשאר נמוך במיוחדו
אם אתה מודאג, הפיתרון הפשוט ביותר נשארכדי לעדכן את כל המכשירים שלךלִקרַאתiOS 18.3.2ו אם מעולם לא השתמשת בקישורים באפליקציית הסיסמה כדי להתחבר לאתרים,אין לך סיבה להבהיל את עצמךו כאמצעי זהירות נוסף, אתה תמיד יכול לשנות את הסיסמאות הרגישות ביותר שלך: בנקים, העברת מסרים וכו '. אבל שוב,הסיכויים שאלו משוטטים בטבע הם נמוכים מאודו
- פגם אבטחה ביישום סיסמא iOS 18 התגלה ותוקן לאחר שלושה חודשים.
- ניצול הפגיעות הזו היה מוגבל מאוד בפועל.
- מספיק עדכון האייפון שלך לגרסה האחרונה של iOS כדי לבטל כל סיכון.
