אפליקציית ניהול הסיסמאות של אפל נחשפה לפרצת אבטחה מסוכנת

אפליקציית ניהול הסיסמאות החדשה של אפל, שהוצגה בעדכון iOS 18, נחשפה לפרצת אבטחה חמורה שאפשרה לתוקפים לבצע הונאות פישינג בקלות, כך פורסם ב gadgety.

התקלה, שהתגלתה על ידי חוקרי האבטחה של חברת Mysk, נבעה משימוש בקישורי HTTP לא מאובטחים במקום פרוטוקול HTTPS. התקלה תוקנה רק לאחר שלושה חודשים בעדכון iOS 18.2, אך נחשפה לציבור רק לאחרונה, תחת קוד הזיהוי CVE-2024-44276.

בעידן הדיגיטלי של היום, רוב המשתמשים מסתמכים על אפליקציות לניהול סיסמאות כדי להגן על חשבונותיהם ולשמור על סדר בגישה לשירותים מקוונים. אפליקציית ה-Passwords של אפל, שהוצגה כחלק מהשיפורים במערכת ההפעלה, נחשבה לפתרון מאובטח במיוחד, אך בפועל, במשך שלושה חודשים היא אפשרה חיבורי HTTP לא מאובטחים. מעבר לכך שהשימוש ב-HTTP שימש להורדת אייקונים ולוגואים של אתרים ואפליקציות, הוא גם הופעל בעת פתיחת דפי איפוס סיסמה – פעולה רגישה במיוחד.

המשמעות הייתה קריטית: תוקף זדוני המחובר לאותה רשת WiFi ציבורית, כמו זו שבשדות תעופה או בבתי קפה, יכול היה לנצל זאת כדי ליירט ולשנות את הדף שאליו המשתמש מנסה להתחבר. כך ניתן היה להטעות את המשתמש ולגרום לו להזין את פרטיו באתר מזויף שנראה לגיטימי לחלוטין.

הבעיה נפתרה בעדכון iOS 18.2, שבו אפל הסדירה את ברירת המחדל לשימוש בפרוטוקול HTTPS בלבד. עם זאת, התקרית מהווה תזכורת ברורה לחשיבות של עדכוני אבטחה, והצורך בהתקנתם המיידית. מומחי אבטחה שבים ומדגישים כי פרצות מסוג זה עשויות להתגלות גם בעתיד, ולכן מומלץ לכל המשתמשים להקפיד על התקנת העדכונים האחרונים מיד עם שחרורם.