【2025-03-19 08:46:00AI Siri网最新消息】
从 iOS 18 的密码应用首次亮相到 iOS 18.2 更新,用户的密码可能已经暴露给特权网络上的恶意行为者,但你可能仍然是安全的。
Apple 在 2024 年 9 月发布了带有全新密码应用的 iOS 18,但在打开链接或获取图标时,它依赖的是安全性较低的 HTTP 协议,而不是 HTTPS。这意味着特权网络上的恶意行为者可以拦截 HTTP 请求,并将用户重定向到虚假网站,从而窃取登录凭据。
安全研究公司 Mysk 发现了这个问题,并在 9 月份向 Apple 报告,密码应用程序在 12 月份通过 iOS 18.2 进行了修补。这意味着该漏洞在野外存在了三个月,并且对于任何运行 iOS 18.2 之前版本的人来说仍然存在。
Apple 直到 2025 年 3 月 17 日才披露漏洞或补丁,这一点被 9to5Mac发现。这很可能是为了保护尚未更新的用户,并在达到特定阈值之前对问题保密。这种延迟披露虽然可以理解,但同时也引发了关于透明度和用户知情权的讨论。在快速变化的网络安全环境中,及时告知用户潜在风险显得尤为重要。
如果有人仍在运行 iOS 18.2 之前的任何版本,他们应该尽快更新。然而,由于攻击向量的特殊性,任何人因此漏洞成为攻击目标的可能性都极小。针对性地利用这个漏洞需要攻击者具备一定的技术水平,并且需要用户在特定情境下进行操作,因此大规模利用的可能性很低。
为了通过 Apple 密码应用暴露你的密码,用户需要:
- 位于恶意行为者也可能存在的 Wi-Fi 网络中,例如咖啡店或机场。
- 恶意行为者需要知道该漏洞并积极尝试利用它。
- 用户需要打开 Apple 密码应用,打开一个密码,然后点击应用中的链接,从密码应用重定向到登录页面。
- 恶意行为者需要寻找这个机会并拦截流量,将你尝试访问的网站的虚假登录页面替换进来。
密码应用在使用自动填充功能登录应用或网站时,并不存在漏洞。它只发生在从应用启动登录页面时。这表明漏洞的触发条件较为苛刻,需要在用户使用密码应用中的链接跳转功能时才会暴露风险。
在没有恶意行为者渗透的网络之外,密码应用的常规使用是无害的,因为 HTTP 请求会自动 301 重定向到 HTTPS。在野外利用该漏洞的可能性很小。然而,即使可能性很小,也提醒我们在使用公共 Wi-Fi 时应谨慎,并尽量避免通过密码应用中的链接直接访问登录页面。另外,开启双重验证也是提高账户安全性的有效措施。
关于密码应用漏洞该怎么做
如果你对这个漏洞感到担心,你可以立即采取几个步骤。最明显的一个是将所有设备操作系统更新到最新版本。及时更新操作系统是防范已知漏洞最有效的方式之一。Apple 会定期发布安全更新,修复已知的漏洞,并增强系统的安全性。
回想一下你对密码应用的使用。如果你从未更改过密码或尝试使用密码应用中的链接登录,或者甚至没有意识到这是可能的,那么你没问题。这意味着你没有暴露在漏洞的攻击场景中。
如果你仍然担心,更改一些更敏感账户的密码总不是坏事。更新你的银行、电子邮件、工作和其他重要帐户的密码。定期更改密码可以降低密码被盗用的风险,尤其是在使用相同密码的不同网站上。
