מִןiOS 18כאשר אפליקציית הסיסמאות יצאה לעדכון iOS 18.2, המשתמשים יכלו לחשוף סיסמאות לשחקן רע ברשת מיוחסת, אך סביר להניח שאתה בטוח.
אפל שיחררה iOS 18 בספטמבר 2024עם אפליקציית הסיסמאות החדשה, אך היא הסתמכה על פרוטוקול HTTP פחות מאובטח, ולא על HTTPS, בעת פתיחת קישורים או הבאת סמלים. פירוש הדבר ששחקן רע ברשת מיוחסת יכול ליירט את בקשת HTTP ולהפנות את המשתמשים לאתר מזויף ולקצור את הכניסה.
חברת מחקר האבטחה Mysk חשפה את הבעיה ודיווחה עליה לאפל בספטמבר, ואפליקציית הסיסמאות טופלה בדצמבר עם iOS 18.2. המשמעות היא שהפגיעות הייתה בשידור חי בטבע במשך שלושת החודשים ההם והמשיכה להיות לכל מי שמנהל שחרור לפני iOS 18.2.
אפל לאלְגַלוֹתהפגיעות או התיקון עד 17 במרץ 2025 - שהיההתגלה על ידי 9to5macו זה עשוי להגן על משתמשים שעדיין לא עדכנו ולשמור על הנושא תחת עטיפות עד שהושג סף מסוים.
אם מישהו עדיין מפעיל משהו לפני iOS 18.2, עליו לעדכן בהקדם האפשרי. עם זאת, לא סביר מאוד שמישהו היה ממוקד לפגיעות בגלל הספציפיות של וקטור ההתקפה.
על מנת לחשוף את הסיסמאות שלך באמצעות אפליקציית Apple Shamings, המשתמש יצטרך:
- היה ברשת Wi-Fi בה גם שחקנים רעים יכולים להיות, כמו בית קפה או שדה תעופה.
- השחקן הרע יצטרך לדעת על הפגיעות ולנסות באופן פעיל לנצל אותה.
- המשתמש יצטרך לפתוח סיסמאות של Apple, לפתוח סיסמא, ואז הקש על קישור באפליקציה כדי להפנות מחדש לכניסה מאפליקציית הסיסמאות.
- השחקן הרע יצטרך לחפש את זה וליירט את התנועה, להחליף דף כניסה מזויף לאתר אליו אתה מנסה להגיע.
אפליקציית הסיסמאות לא הייתה פגיעה בעת השימוש בהכנסת אפליקציות או אתרים באמצעות פונקציית מילוי אוטומטי. זה התרחש רק בעת הפקת דף כניסה מהאפליקציה.
השימוש הכללי באפליקציית הסיסמאות מחוץ לרשת שהסתנן על ידי שחקן רע היה לא מזיק, מכיוון שבקשות HTTP יופנו 301 ל- HTTPS באופן אוטומטי. אין סיכוי קטן שהפגיעות תנוצל בטבע.
מה לעשות בקשר לפגיעות אפליקציית הסיסמאות
אם אתה בכלל מודאג מהפגיעות הזו, ישנם כמה צעדים שתוכלו לנקוט היום. הברור ביותר הוא לעדכן את כל מערכות ההפעלה של המכשירים שלך לגירסה האחרונה.
חשבו בחזרה לשימושכם באפליקציית הסיסמאות. אם מעולם לא שינית סיסמה או ניסית להתחבר באמצעות קישור מאפליקציית הסיסמאות, או אפילו לא הבנת שזה אפשרי, אז אתה בסדר.
אם אתה עדיין מודאג, זה אף פעם לא רעיון רע ללכת לשנות את הסיסמה עבור כמה מהחשבונות הרגישים יותר שלך. לכו לעדכן סיסמאות לבנק, בדוא"ל, לעבודה ולחשבונות משמעותיים אחרים.
