Apple opravuje zranitelnost aplikace Hesla umožňující útoky přes Wi-Fi

Pamatujete si Appleovy marketingové kampaně \"Soukromí. To je iPhone\"? Společnost se ráda prezentuje jako synonymem soukromí. Nicméně, nedávná vlna bezpečnostních zranitelností ovlivňujících iPhony a Macy naznačuje, že produkty Apple nemusí být tak bezpečné, jak se inzeruje.

Nedávná bezpečnostní chyba to jen potvrzuje. Bezpečnostní výzkumníci zjistili, že vestavěná aplikace pro správu hesel od Applu, Passwords, byla po dobu téměř tří měsíců po svém uvedení zranitelná phishingovým útokům. To znamenalo, že útočník ve stejné Wi-Fi síti, například na letišti nebo v kavárně, mohl přesměrovat váš prohlížeč na napodobenou phishingovou stránku, aby ukradl vaše přihlašovací údaje.

Výzkumníci z Mysk si všimli, že aplikace Apple Passwords, představená s iOS 18 v září 2024, měla významnou bezpečnostní chybu, která nechala uživatele zranitelné phishingovým útokům po dobu téměř tří měsíců.

Aplikace používala nezašifrovaná HTTP připojení místo zabezpečenějšího HTTPS pro načítání log a ikon zobrazovaných vedle uložených hesel. To umožnilo útočníkům ve stejné síti, například na veřejné Wi-Fi v kavárně nebo na letišti, zachytit tyto požadavky a potenciálně přesměrovat uživatele na phishingové stránky navržené k krádeži přihlašovacích údajů.

Problém zůstal nevyřešen od uvedení iOS 18 v září 2024, dokud jej Apple neopravil v prosinci 2024, čímž ponechal uživatele vystavené po dobu téměř tří měsíců. Pokud někdo otevřel aplikaci Passwords a klepnul na odkaz, například \"Změnit heslo\", při připojení k nezabezpečené síti, útočník mohl zachytit požadavek a přesměrovat jej na podvodnou stránku napodobující legitimní stránku, například falešnou přihlašovací stránku Yelp. Vzhledem k tomu, že aplikace nevynucovala HTTPS, si uživatelé možná nevšimli přepnutí, čímž ohrozili své citlivé informace.

Apple problém vyřešil poté, co mu o něm v září 2024 ohlásili bezpečnostní výzkumníci z Mysk. Aktualizace iOS 18.2, vydaná v prosinci, opravila zranitelnost vynucením HTTPS pro veškerou síťovou komunikaci v aplikaci Passwords, čímž se útočníkům výrazně ztížilo zachycení nebo přesměrování provozu.

Pokud používáte iPhone nebo iPad s aplikací Passwords, ujistěte se, že je vaše zařízení aktualizováno na iOS 18.2 nebo novější. To zajistí, že jste chráněni před touto zranitelností. Pokud jste ještě neaktualizovali a používali aplikaci na veřejné Wi-Fi mezi zářím a prosincem 2024, z bezpečnostních důvodů zvažte změnu hesel pro všechny účty, ke kterým jste v tomto období přistupovali.

Nedávná bezpečnostní chyba Applu s aplikací Passwords zdůrazňuje důležitost kroků k ochraně vaší digitální identity. Zde je několik způsobů, jak se chránit před hackery, kteří cílí na vaše hesla:

1) Používejte spolehlivého správce hesel: Aplikace Apple jsou obecně bezpečnější než možnosti od třetích stran, ale aplikace Passwords očividně nebyla. Skutečnost, že bezpečnostní zranitelnost existovala tři měsíce předtím, než ji Apple opravil, dokazuje, že Apple musí klást větší důraz na ochranu dat zákazníků.

2) Povolte dvoufaktorové ověřování (2FA): Dobré je mít správce hesel, ale víte, co je ještě lepší? 2FA. Přidání další vrstvy zabezpečení pomocí 2FA může zabránit hackerům v přístupu k vašim účtům, i když vám ukradnou heslo.

3) Vyhýbejte se veřejné Wi-Fi pro citlivé aktivity a používejte VPN: Hackery mohou zneužívat nezabezpečené veřejné sítě k zachycení vašich přihlašovacích údajů. Pokud musíte přistupovat k citlivým účtům na veřejné Wi-Fi, použijte VPN k zašifrování internetového provozu a zabránění hackerům v prohlížení vašich dat.

4) Dejte si pozor na phishingové útoky a nainstalujte si silný antivirový software: Můžete mít veškerou ochranu na světě, ale phishingový e-mail nebo SMS může stále způsobit zmatek. Hackery často používají falešné přihlašovací stránky k oklamání uživatelů, aby zadali své přihlašovací údaje.

5) Udržujte svá zařízení aktualizovaná: Pravidelně aktualizujte svá zařízení a software, abyste měli nejnovější bezpečnostní opravy.

6) Pravidelně monitorujte všechny své účty: Monitorujte své účty na podezřelé aktivity a hlášte Apple jakékoli neobvyklé transakce nebo pokusy o přihlášení.

Tři měsíce je dlouhá doba pro neopravenou bezpečnostní chybu ve správci hesel, zejména od společnosti, která se prezentuje jako lídr v oblasti soukromí a zabezpečení. Tato událost zdůrazňuje znepokojivou realitu. Bezpečnostní opatření Applu nejsou neomylná a dokonce i vestavěné systémové aplikace mohou vystavovat uživatele vážným rizikům. Oprava nakonec dorazila, ale nemělo to trvat tak dlouho, než se tento zásadní problém vyřeší.