Apple устраняет уязвимость в приложении «Пароли», позволяющую атаки через Wi-Fi

Безопасность под угрозой

Помните рекламные кампании Apple с лозунгом «Конфиденциальность. Это iPhone»? Компания всегда позиционировала свои продукты как образцы безопасности и конфиденциальности. Однако последняя волна уязвимостей, затронувшая iPhone и Mac, ставит под сомнение эту репутацию.

Уязвимость в приложении «Пароли»

Недавнее открытие исследователей безопасности подтверждает эти опасения. Специалисты из компании Mysk обнаружили, что встроенное приложение Apple для управления паролями, «Пароли», имело серьезную уязвимость, позволяющую хакерам проводить фишинговые атаки на протяжении почти трех месяцев после его запуска. Это означало, что злоумышленник, находясь в одной Wi-Fi сети с вами, например, в аэропорту или кафе, мог перенаправить ваш браузер на поддельный сайт, чтобы украсть ваши учетные данные.

Как это происходило?

Проблема заключалась в том, что приложение использовало незащищенные HTTP-соединения вместо более безопасных HTTPS для загрузки логотипов и иконок, отображаемых рядом с сохраненными паролями. Это позволяло злоумышленникам перехватывать эти запросы и перенаправлять пользователей на фишинговые сайты, созданные для кражи учетных данных.

Уязвимость оставалась незакрытой с момента запуска iOS 18 в сентябре 2024 года до ее исправления в декабре 2024 года. Если кто-то открывал приложение «Пароли» и нажимал на ссылку, например, «Сменить пароль», находясь в незащищенной сети, злоумышленник мог перехватить запрос и перенаправить их на мошеннический сайт, имитирующий легитимный, например, поддельную страницу входа в Yelp. Поскольку приложение не обеспечивало обязательное использование HTTPS, пользователи могли не заметить смены, что ставило их конфиденциальную информацию под угрозу.

Как защитить свой iPhone и iPad от вредоносного ПО в 2025 году

Apple исправила проблему после того, как исследователи безопасности из Mysk сообщили о ней в сентябре 2024 года. Обновление iOS 18.2, выпущенное в декабре, устранило уязвимость, обеспечив обязательное использование HTTPS для всех сетевых коммуникаций в приложении «Пароли», что значительно усложнило задачу злоумышленникам по перехвату или перенаправлению трафика.

Если вы используете iPhone или iPad с приложением «Пароли», обязательно обновите устройство до iOS 18.2 или более поздней версии, чтобы защитить себя от этой уязвимости. Если вы еще не обновляли устройство и использовали приложение на общественном Wi-Fi в период с сентября по декабрь 2024 года, рекомендуется сменить пароли для всех аккаунтов, к которым вы получали доступ в это время.

Шаги для обновления вашего устройства

Следуйте этим простым шагам для обновления вашего iPhone или iPad:

• Перейдите в «Настройки».
• Выберите «Основные».
• Нажмите «Обновление ПО».
• Установите доступное обновление.

Как защитить свою цифровую идентичность

Недавний инцидент с приложением «Пароли» подчеркивает важность принятия мер для защиты вашей цифровой идентичности. Вот несколько советов, которые помогут вам оставаться в безопасности от хакеров, нацелившихся на ваши пароли:

• Используйте надежный менеджер паролей: Несмотря на то что приложения Apple обычно более безопасны, уязвимость в «Паролях» показала, что стоит рассмотреть использование более надежного менеджера паролей.
• Включите двухфакторную аутентификацию (2FA): Это добавит дополнительный уровень безопасности, даже если злоумышленник получит ваш пароль.
• Избегайте общественного Wi-Fi для чувствительных операций и используйте VPN: Если вам нужно подключиться к общественной сети, обязательно используйте VPN, чтобы зашифровать свои данные.
• Будьте осторожны с фишинговыми атаками и установите надежное антивирусное ПО: Регулярно проверяйте URL перед вводом учетных данных и избегайте подозрительных ссылок.
• Регулярно обновляйте свои устройства: Убедитесь, что на ваших устройствах установлены последние обновления безопасности.
• Следите за своими аккаунтами: Регулярно проверяйте свою активность и сообщайте о любых подозрительных действиях.

Заключение

Три месяца — это слишком долго для уязвимости в менеджере паролей, особенно от компании, которая позиционирует себя как лидер в области конфиденциальности и безопасности. Этот инцидент подчеркивает реальность: меры безопасности Apple не безупречны, и даже встроенные приложения могут подвергать пользователей серьезным рискам. Хотя исправление было выпущено, ожидать его так долго по столь фундаментальному вопросу было недопустимо. Если Apple хочет сохранить свой имидж компании, ориентированной на конфиденциальность, ей необходимо уделять больше внимания тестированию безопасности перед запуском новых продуктов.

Как вы считаете, делает ли Apple достаточно для защиты своих пользователей от evolving cyber threats, или есть дополнительные шаги, которые компания должна предпринять? Поделитесь своим мнением с нами.

Для получения дополнительных советов по технологиям и безопасности подписывайтесь на мой бесплатный информационный бюллетень CyberGuy Report.