HTTP вместо HTTPS: Apple три месяца скрывала критическую уязвимость в «Паролях»
Неучтивость разработчиков из Купертино подставила пользователей под фишинг-атаки.
В приложении «Пароли» (Passwords) на iOS 18 была обнаружена серьёзная уязвимость . Проблема подвергала пользователей риску фишинговых атак почти три месяца — с момента первого выпуска iOS 18, где функционал «Паролей» был обособлен в отдельное приложение, до выхода исправления в iOS 18.2 .
Исследователи безопасности из компании Mysk обнаружили уязвимость после того, как заметили, что отчёт о конфиденциальности приложений на iPhone показывал контакт «Паролей» со 130 различными веб-сайтами через незащищённый HTTP-трафик. Дальнейшее расследование выявило, что приложение не только загружало логотипы и значки аккаунтов через HTTP, но и по умолчанию открывало страницы сброса паролей, используя незашифрованный протокол.
По словам специалистов Mysk, это создавало уязвимость: злоумышленник с привилегированным сетевым доступом мог перехватить HTTP-запрос и перенаправить пользователя на фишинговый веб-сайт. Исследователи выразили удивление, что Apple не обеспечила использование HTTPS по умолчанию для столь чувствительного приложения.
Большинство современных веб-сайтов допускают незашифрованные HTTP-соединения, но автоматически перенаправляют их на HTTPS, используя редирект 301. До выхода iOS 18.2 приложение «Пароли» выполняло запрос через HTTP, который затем перенаправлялся на защищённую версию HTTPS.
Проблема возникала, когда злоумышленник находился в той же сети, что и пользователь (например, Wi-Fi в кафе, аэропорту или отеле), и перехватывал начальный HTTP-запрос до перенаправления. В этом случае атакующий мог манипулировать трафиком различными способами, включая перенаправление на фишинговый сайт, что позволяло собирать учётные данные жертв.
Хотя уязвимость была тихо исправлена в декабре прошлого года, Apple раскрыла информацию о ней только 17 марта. Теперь приложение «Пароли» использует HTTPS по умолчанию для всех соединений. Всем пользователям iOS рекомендуется установить последнюю версию операционной системы, чтобы избежать потенциальных атак.