iPhone密码App唔安全？安全漏洞曝光重要密码　必须更新iOS 18.2

Apple 在 iOS 18 推出后，将原本在iCloud的功能独立成一款专门的“密码 (Passwords)”App，让用户能更方便地管理帐号密码。然而，近日安全研究团队 Mysk 发现，这款密码管理 App 竟然存在一项严重的安全漏洞，使用户在近三个月内可能遭受钓鱼攻击，直到 iOS 18.2 更新才正式修复这一问题。

研究人员注意到，当 iPhone 用户开启“应用程式隐私报告”时，会发现 Passwords App 曾与超过 130 个网站进行不安全的 HTTP 连线，这引起了团队的警觉。在进一步分析后，他们发现密码App在加载帐号图示与网站标志时，竟然是透过不加密的 HTTP 协议进行传输，更让人震惊的是，当用户点击“重设密码”时，也会预设使用 HTTP 开启密码重设页面，而非更安全的 HTTPS。这意味著，如果攻击者能够存取用户的网络环境，例如透过公共 Wi-Fi（如咖啡店、机场或饭店），便可拦截这些 HTTP 请求，并将用户重新导向至精心设计的钓鱼网站，进一步窃取密码与其他敏感资料。

Mysk 团队展示了一个典型的攻击场景，当用户在密码app中点击重设密码链接时，攻击者可以拦截 HTTP 请求，并将受害者导向一个伪装成 Microsoft Live 登入页面的钓鱼网站，诱骗受害者输入凭证。攻击者一旦获取这些凭证，不仅能够存取受害者的帐户，甚至可能发动更多层级的攻击，例如盗取其他凭证、发送恶意软体或进一步监控受害者的活动。

透过 iOS 18.2 更新，密码App现在已全面强制使用 HTTPS 连线，确保所有帐号图示下载与密码重设页面都经过加密传输，以防止攻击者拦截数据或进行钓鱼攻击。尽管漏洞已经修复，为了确保不受影响，用户应立即确认 iPhone 是否已更新至 iOS 18.2 或更新版本。此外，以下几点可进一步强化密码管理的安全性：

1）保持系统更新：定期检查并更新 iOS 版本，以确保拥有最新的安全补丁，防范类似漏洞的攻击。

2）避免使用公共 Wi-Fi 进行敏感操作：公共 Wi-Fi 环境容易受到中间人攻击，应尽量避免在这类网络上输入密码或执行帐户安全相关操作。

3）启用 VPN 来加密流量：使用虚拟私人网络（VPN）可以加密网络流量，即使在不安全的网络环境中，也能有效防止流量被拦截。

4）使用强密码与双重验证：即使凭证被泄露，启用双重验证可大幅降低帐户被盗的风险。

5）定期检查帐户活动：若发现任何可疑登入纪录，应立即变更密码，并检查是否有未经授权的帐户存取。