iPhone密码App唔安全?安全漏洞曝光重要密码 必须更新iOS 18.2

撰文: 陈锦洪
出版:更新:

Apple 在 iOS 18 推出后,将原本在iCloud的功能独立成一款专门的“密码 (Passwords)”App,让用户能更方便地管理帐号密码。然而,近日安全研究团队 Mysk 发现,这款密码管理 App 竟然存在一项严重的安全漏洞,使用户在近三个月内可能遭受钓鱼攻击,直到 iOS 18.2 更新才正式修复这一问题。

研究人员注意到,当 iPhone 用户开启“应用程式隐私报告”时,会发现 Passwords App 曾与超过 130 个网站进行不安全的 HTTP 连线,这引起了团队的警觉。在进一步分析后,他们发现密码App在加载帐号图示与网站标志时,竟然是透过不加密的 HTTP 协议进行传输,更让人震惊的是,当用户点击“重设密码”时,也会预设使用 HTTP 开启密码重设页面,而非更安全的 HTTPS。这意味著,如果攻击者能够存取用户的网络环境,例如透过公共 Wi-Fi(如咖啡店、机场或饭店),便可拦截这些 HTTP 请求,并将用户重新导向至精心设计的钓鱼网站,进一步窃取密码与其他敏感资料。

Mysk 团队展示了一个典型的攻击场景,当用户在密码app中点击重设密码链接时,攻击者可以拦截 HTTP 请求,并将受害者导向一个伪装成 Microsoft Live 登入页面的钓鱼网站,诱骗受害者输入凭证。攻击者一旦获取这些凭证,不仅能够存取受害者的帐户,甚至可能发动更多层级的攻击,例如盗取其他凭证、发送恶意软体或进一步监控受害者的活动。

透过 iOS 18.2 更新,密码App现在已全面强制使用 HTTPS 连线,确保所有帐号图示下载与密码重设页面都经过加密传输,以防止攻击者拦截数据或进行钓鱼攻击。尽管漏洞已经修复,为了确保不受影响,用户应立即确认 iPhone 是否已更新至 iOS 18.2 或更新版本。此外,以下几点可进一步强化密码管理的安全性:

1)保持系统更新:定期检查并更新 iOS 版本,以确保拥有最新的安全补丁,防范类似漏洞的攻击。

2)避免使用公共 Wi-Fi 进行敏感操作:公共 Wi-Fi 环境容易受到中间人攻击,应尽量避免在这类网络上输入密码或执行帐户安全相关操作。

3)启用 VPN 来加密流量:使用虚拟私人网络(VPN)可以加密网络流量,即使在不安全的网络环境中,也能有效防止流量被拦截。

4)使用强密码与双重验证:即使凭证被泄露,启用双重验证可大幅降低帐户被盗的风险。

5)定期检查帐户活动:若发现任何可疑登入纪录,应立即变更密码,并检查是否有未经授权的帐户存取。