Apple wraz z systemem iOS 18 wprowadziło aplikację Hasła. Do tej pory hasła były przechowywane w pęku kluczy, do których mogliśmy dotrzeć przez ustawienia. Apple zdecydowało się „wyciągnąć hasła na wierzch” w postaci nowej aplikacji.
Okazuje się, iż w pierwszych trzech miesiącach aplikacja była podatna na ataki typu phishing. Badacze bezpieczeństwa w Mysk po raz pierwszy odkryli lukę po tym, jak zauważyli, iż raport prywatności aplikacji ich iPhone’a pokazał, iż Passwords skontaktował się z oszałamiającą ilością 130 różnych stron internetowych dzięki niezabezpieczonego ruchu HTTP. Dalsze badanie sprawy ujawniło, iż aplikacja nie tylko pobierała logo i ikony kont przez HTTP – domyślnie otwierała strony resetowania hasła przy użyciu niezaszyfrowanego protokołu.
„To pozostawiło użytkownika podatnego na ataki: atakujący z uprzywilejowanym dostępem do sieci mógł przechwycić żądanie HTTP i przekierować użytkownika do strony phishingowej”
Większość nowoczesnych stron internetowych pozwala w tej chwili na niezaszyfrowane połączenia HTTP, ale automatycznie przekierowuje je do HTTPS dzięki przekierowania 301. Ważne jest, aby pamiętać, iż chociaż aplikacja Hasła przed iOS 18.2 składałaby żądanie przez HTTP, przekierowywałaby do bezpiecznej wersji HTTPS. W normalnych okolicznościach byłoby to całkowicie w porządku, ponieważ zmiany hasła zachodzą na zaszyfrowanej stronie, zapewniając, iż poświadczenia nie są wysyłane w postaci zwykłego tekstu.
Staje się to jednak problemem, gdy atakujący jest podłączony do tej samej sieci co użytkownik (tj. Starbucks, lotnisko lub hotel Wi-Fi) i przechwytuje początkowe żądanie HTTP przed przekierowaniem. Stąd mogliby manipulować ruchem na kilka sposobów.
Jak działa modyfikacja żądania przekierowania strony phishingowej, widać na poniższym materiale wideo.
W chwili obecnej użytkownicy są bezpieczni, ponieważ Apple załatało lukę wraz z wydaniem systemu iOS 18.2.
Źródło: 9To5Mac
