Apple исправила уязвимость в приложении «Пароли», которая делал пользователей уязвимыми перед фишингом. Ошибка появилась в iOS 18 и присутствовала в операционной системе на протяжении трёх месяцев.
Приложение «Пароли» упрощает пользователям доступ к паролям от сайтов, сервисов и беспроводных сетей. В приложении можно посмотреть пароль и узнать, не был ли он замечен в утечках.
Именно в «Паролях» независимый исследователь безопасности нашёл уязвимость. Слева от названия сайта приложение выводит иконку сайта или приложения. Выяснилось, что система передаёт иконки в незашифрованном виде. Исследователь выяснил, что если злоумышленник будет находиться в одной сети Wi-Fi с жертвой, например, в кафе или аэропорту, то сможет перенаправить пользователя на фишинговый сайт.
Исследовать сообщил об ошибке разработчикам Apple в сентябре 2024 года. Компания выпустила исправление только в iOS 18.2. При этом Apple не делала публичных заявлений, а только указала на исправление в описании к релизу. Также отмечается, что ошибку заметили в приложении «Пароли» для macOS и visionOS.
Источник новости: habr.com
