苹果密码应用漏洞被披露：黑客可钓鱼窃取凭证，iOS 18.2 已修复

本站 3 月 19 日消息，科技媒体 9to5Mac 昨日（3 月 18 日）发布博文，报道称安全团队 Mysk 检查 iPhone 的“App 隐私报告”后发现，官方独立应用“Passwords”存在 HTTP 协议漏洞，直至 iOS 18.2 修复。

本站注：苹果 iOS 18 （2024年 9月上线）推出独立密码管理应用“Passwords”，直至 iOS 18.2（2024年 12月上线）修复，期间受影响时间范围为 3个月，用户面临钓鱼风险。

安全团队表示，Passwords 应用曾通过不安全的 HTTP 协议与 130 个网站通信，包括获取账户图标和默认打开密码重置页面。研究人员指出用户连接公共 WiFi 后，黑客可以截获 Passwords 发送的初始 HTTP 请求。

然后将用户重定向至仿冒的钓鱼页面（如伪造微软的 live.com），用户输入密码后，攻击者可直接获取凭证并发动进一步攻击。苹果在 iOS 18.2 此前版本中，未强制使用加密的 HTTPS 协议，且未提供关闭图标下载的选项，导致应用频繁向网站发送请求。

苹果在 2024 年 12 月发布的 iOS 18.2 更新中，并在3 月 17 日更新日志，已经修复了 Passwords 应用的该漏洞，默认使用加密协议，避免未受保护的 HTTP 连接。