С выходом iOS 18 Apple представила отдельное приложение «Пароли» (Passwords), отделив его от встроенного менеджера Keychain («Связка ключей») в настройках. Это был первый шаг компании к удобному управлению учётными данными пользователей. Однако теперь стало известно, что из-за серьёзной ошибки в HTTP-протоколе пользователи «Паролей» оставались уязвимыми для фишинговых атак почти три месяца — с момента релиза iOS 18 до её исправления в версии 18.2.
Исследователи безопасности из компании Mysk первыми обнаружили эту уязвимость, заметив, что в отчёте App Privacy Report на iPhone приложение «Пароли» взаимодействовало с 130 различными сайтами через небезопасный HTTP-трафик. Это побудило специалистов детально изучить проблему. В ходе анализа выяснилось, что приложение не только загружало логотипы и иконки учётных записей по незащищённому соединению, но и по умолчанию открывало страницы сброса паролей через HTTP.
«Это оставляло пользователя уязвимым: атакующий с привилегированным доступом к сети мог перехватить HTTP-запрос и перенаправить её на поддельный фишинговый сайт», — сообщили эксперты Mysk изданию 9to5Mac.
Специалисты Mysk продемонстрировали, как злоумышленники могли воспользоваться этой уязвимостью.
«Мы были удивлены, что Apple не установила HTTPS-соединение по умолчанию в таком критически важном приложении», — заявляют исследователи. «Кроме того, Apple должна предложить пользователям возможность полностью отключить загрузку иконок. Я, например, не чувствую себя комфортно, зная, что мой менеджер паролей постоянно отправляет запросы на каждый сайт, для которого у меня сохранены учётные данные, даже если эти запросы не содержат идентификационной информации».
На большинстве современных сайтов, поддерживающих HTTP-соединения, предусмотрен автоматический редирект на HTTPS с помощью кода 301. Это означает, что до iOS 18.2 приложение «Пароли» изначально запрашивало данные через HTTP, но затем перенаправлялось на защищённую версию HTTPS. В обычных условиях это не создавало проблем, так как передача учётных данных происходила уже на зашифрованной странице.
Однако проблема возникала, если атакующий находился в той же сети, что и пользователь, например, в кафе, аэропорту или гостинице, и перехватывал первоначальный HTTP-запрос до его перенаправления. В этом случае злоумышленник мог изменить трафик несколькими способами. Как показано в демонстрации Mysk, он мог перенаправить жертву на фишинговую копию страницы live.com от Microsoft, где легко собирал учётные данные, а затем использовал их для дальнейших атак.
Apple исправила эту уязвимость ещё в декабре 2023 года, однако официально сообщила о ней только сейчас. В обновлении iOS 18.2 приложение «Пароли» теперь использует HTTPS по умолчанию для всех соединений. Если ваш iPhone или iPad всё ещё работает на старой версии, настоятельно рекомендуется обновить систему.
Ещё по теме: