苹果密码管理应用曾存安全漏洞现已修复

3月19日消息，据相关科技媒体报道，一家名为Mysk的安全团队在对iPhone的“App隐私报告”进行检查时发现，苹果官方推出的独立密码管理应用“Passwords”曾存在一个与HTTP协议相关的安全漏洞。该问题直到iOS 18.2版本发布时才得到修复。

据了解，苹果在2024年9月推出的iOS 18系统中引入了独立的密码管理应用“Passwords”。然而，在该应用上线初期，由于未强制使用加密的HTTPS协议，而是允许通过不安全的HTTP协议与外部网站通信，导致用户面临一定的安全风险。这一问题一直持续到2024年12月发布的iOS 18.2更新中才得以解决，受影响的时间跨度约为3个月。

安全团队指出，在这期间，“Passwords”应用曾通过不安全的HTTP协议与超过130个网站进行通信，包括获取账户图标以及默认打开密码重置页面等功能。研究人员警告称，当用户连接公共WiFi时，攻击者可能截获“Passwords”发送的初始HTTP请求，并将用户重定向至伪造的钓鱼页面。例如，黑客可能会模仿微软的“live.com”登录界面，诱使用户输入账号密码，从而窃取用户的凭证信息并进一步实施攻击。

此外，研究团队还提到，苹果在早期版本的iOS 18中并未提供关闭图标下载功能的选项，这导致“Passwords”应用频繁向外部网站发送请求，增加了潜在的风险。

苹果公司在2024年12月发布的iOS 18.2更新中解决了这一问题。根据3月17日发布的更新日志显示，此次更新修复了“Passwords”应用的漏洞，默认启用加密协议，避免了未受保护的HTTP连接带来的安全隐患。这一改进有助于提升用户的数据安全性和隐私保护水平。