אפליקציית ה-Passwords לניהול סיסמאות של אפל (Apple) שהוצגה ב-iOS 18 הייתה חשופה להונאות פישינג (Phishing) במשך 3 חודשים לאור שימוש בלא תקין בקישורי HTTP רגילים במקום HTTPS מאובטחים.
התקלה אותרה על ידי חוקרי אבטחה מחברת Mysk ותוקנה בשקט על ידי אפל עם השקת מערכת ה-iOS 18.2 ונחשפה רק כעת על ידי החברה כפרצת אבטחה שקיבלה את קוד הזיהוי CVE-2024-44276.
בעולם הדיגיטלי של היום, לכל משתמש קיימים מספר רב של חשבונות לשירותים או אתרים ברשת, כאשר הדרך הפשוטה ביותר לעשות סדר ב"בלאגן" הסיסמאות הוא שימוש באפליקציית ניהול סיסמאות יעודית, דוגמת Passwords של אפל, שהוצגה כחלק מעדכון ה-iOS 18 הגדול של החברה. אפליקציה שרוב המשתמשים יניחו בצדק כי היא צריכה להיות מאובטחת במיוחד.
עם זאת, צוות חוקרי האבטחה של Mysk גילה כי עם ההשקה שלה, אפליקציית ה-Passwords השתמשה בתקשורת HTTP לא מאובטחת לא רק על מנת להוריד אייקונים ולוגואים של אפליקציות ואתרים, אלא גם על מנת לפתוח את דפי איפוס הסיסמה באתרים ושירותים השונים השמורים בה, עם מעבר לתקשורת HTTPS מאובטחת לאחר מכן.
הדבר אפשר לתוקף זדוני המחובר לאותה רשת WiFi כמו המשתמש, לדוגמה רשת בשדה תעופה, בית קפה ועוד, לבצע הונאת פישינג נגד המשתמש ולגנוב לו את הסיסמאות על ידי דימוי האתר לגיטימי אליו המשתמש רצה להגיע, כאשר רוב המשתמשים היו מניחים בצדק כי אם האתר נפתח דרך אפליקציית ה-Passwords מדובר על האתר הרשמי.
אפל פתרה זאת בשקט רק לאחר שלושה חודשים עם שחרור עדכון ה-iOS 18.2 שעבר להשתמש בחיבור HTTPS מאובטח בתור ברירת מחדל.
🚨 Apple's Passwords app was vulnerable to phishing attacks in iOS versions prior to 18.2. Its functionality to change a password from within the app used to open an account's website via insecure HTTP by default. This allowed an attacker with privileged network access to easily… pic.twitter.com/VrqFWSk4z1
— Mysk 🇨🇦🇩🇪 (@mysk_co) March 18, 2025
חולשת האבטחה המביכה למדי של אפל מזכירה כי מומלץ תמיד להתקין את עדכוני המערכת והאבטחה האחרונים אותם מציגות החברות השונות על מנת לתקן פרצות אבטחה דוגמת זו שאותרה באפליקציית ניהול הסיסמאות של אפל.
עוקבים? כל החדשות מגאדג'טי
חלק מהפוסטים באתר כוללים קישורי תכניות שותפים, עבורם נקבל עמלה עם ביצוע רכישה בפועל של מוצרים. עמלה זו לא מייקרת את העלות הסופית של המוצרים עבורכם.
הסקירות והתכנים המופיעים באתר מהווים המלצה בלבד, וכך יש להתייחס אליהם. כל המחירים המופיעים באתר נכונים ליום הפרסום בלבד והאחריות לקניית מוצר או שירות כזה או אחר מוטלת עליך בלבד – השימוש באתר בהתאם לתנאי השימוש והפרטיות.