近期，科技新聞?lì)I(lǐng)域傳來(lái)一則關(guān)于蘋果iOS系統(tǒng)的安全警報(bào)。據(jù)科技博客9to5Mac報(bào)道，安全專家團(tuán)隊(duì)Mysk在深入分析了iPhone的“App隱私報(bào)告”后，揭露了一個(gè)令人擔(dān)憂的安全漏洞。該漏洞存在于蘋果官方推出的獨(dú)立密碼管理應(yīng)用“Passwords”中，且影響范圍覆蓋從iOS 18發(fā)布至iOS 18.2更新的時(shí)段。

具體而言，這一安全漏洞允許“Passwords”應(yīng)用在未經(jīng)加密的情況下，通過(guò)HTTP協(xié)議與多達(dá)130個(gè)網(wǎng)站進(jìn)行通信。這些通信內(nèi)容涵蓋了賬戶圖標(biāo)的獲取以及默認(rèn)密碼重置頁(yè)面的打開等操作。值得注意的是，iOS 18版本于2024年9月正式推出，而“Passwords”應(yīng)用的這一安全隱患直到同年12月發(fā)布的iOS 18.2版本中才得以修復(fù)，期間用戶長(zhǎng)達(dá)三個(gè)月處于潛在風(fēng)險(xiǎn)之中。

Mysk團(tuán)隊(duì)進(jìn)一步指出，當(dāng)用戶連接至公共WiFi網(wǎng)絡(luò)時(shí)，惡意黑客有可能攔截到“Passwords”應(yīng)用發(fā)出的HTTP請(qǐng)求。通過(guò)這一手段，攻擊者能夠?qū)⒂脩糁囟ㄏ蛑辆脑O(shè)計(jì)的釣魚頁(yè)面，這些頁(yè)面往往偽裝成知名網(wǎng)站，如微軟的live.com。一旦用戶在釣魚頁(yè)面上輸入了自己的密碼，攻擊者便能輕松獲取這些敏感信息，進(jìn)而發(fā)動(dòng)更為復(fù)雜的網(wǎng)絡(luò)攻擊。

更令人擔(dān)憂的是，在iOS 18.2版本之前，蘋果并未強(qiáng)制“Passwords”應(yīng)用使用更為安全的HTTPS協(xié)議進(jìn)行通信，同時(shí)也沒(méi)有提供關(guān)閉圖標(biāo)下載功能的選項(xiàng)。這導(dǎo)致應(yīng)用頻繁向外部網(wǎng)站發(fā)送未加密的請(qǐng)求，極大地增加了用戶數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

好在，蘋果公司在意識(shí)到這一安全漏洞后迅速采取了行動(dòng)。在2024年12月發(fā)布的iOS 18.2更新中，蘋果修復(fù)了“Passwords”應(yīng)用的安全漏洞，并默認(rèn)啟用了加密協(xié)議，從而避免了未受保護(hù)的HTTP連接帶來(lái)的風(fēng)險(xiǎn)。蘋果還在隨后的3月17日更新日志中明確了這一修復(fù)措施，以確保用戶能夠及時(shí)了解并更新自己的系統(tǒng)版本。