خطأ في تطبيق كلمات مرور iOS يعني ذلك iPhone كان المستخدمون عرضة لهجمات التصيد المحتملة بعد أن تم تحديدها بعد الحضور لسنوات.
في مذكرة عن أمنها صفحة، وصفت Apple المشكلة بأنها “قد يكون” المستخدم في موضع الشبكة المميز قادرًا على تسرب المعلومات الحساسة. ” تم إصلاح المشكلة باستخدام HTTPS عند إرسال معلومات عبر الشبكة ، كما قال عملاق التكنولوجيا.
تم الإبلاغ عن الخطأ ، الذي اكتشفه باحثو الأمن لأول مرة في MYSK ، في سبتمبر ، ولكن يبدو أنه لم يتم تثبيته لعدة أشهر. في تغريدة الأربعاء ، قال المسك استخدمت كلمات مرور Apple HTTP غير آمنة افتراضيًا منذ تقديم ميزة اكتشاف كلمة المرور المعرضة للخطر في iOS 14 ، والتي تم إصدارها مرة أخرى في عام 2020.
“لقد كان مستخدمو iPhone عرضة لهجمات التصيد لسنوات ، وليس أشهر” ، تويت ميسك. “كان تطبيق كلمات المرور المخصص في iOS 18 بمثابة إعادة تعبئة لمدير كلمة المرور القديم الذي كان في الإعدادات ، وقد حمل على جميع الأخطاء.”
ومع ذلك ، فإن احتمال وقوع شخص ما ضحية لهذا الخطأ منخفض للغاية. تمت معالجة الخطأ أيضًا في تحديثات الأمان للمنتجات الأخرى ، بما في ذلك Mac و iPad و Vision Pro.
في تعليق أ فيديو يوتيوب تم النشر بواسطة MySK الذي يسلط الضوء على المشكلة ، وأظهر الباحثون كيف كان تطبيق IOS 18 كلمات المرور يفتح الروابط وتنزيل أيقونات الحساب عبر HTTP غير الآمن بشكل افتراضي ، مما يجعله عرضة لهجمات التصيد. يسلط الفيديو الضوء على كيفية اعتراض المهاجم الذي يتمتع بالوصول إلى الشبكة وإعادة توجيه الطلبات إلى موقع ضار.
وفق 9to5mac، تطرح المشكلة مشكلة عندما يكون المهاجم على نفس الشبكة مثل المستخدم ، كما هو الحال في المقهى أو المطار ، ويعترض طلب HTTP قبل إعادة توجيهه.
لم ترد Apple على طلب للتعليق على المشكلة أو تقديم مزيد من التفاصيل.
وقال ميسك إن اكتشاف الخطأ لم يكن مؤهلاً للحصول على مكافأة مالية لأنه لم يفي بمعايير التأثير أو تندرج في أي من الفئات المؤهلة.
“نعم ، يبدو الأمر وكأنه عمل خيري لشركة بقيمة 3 تريليونات دولار ،” الشركة تويت. “لم نفعل ذلك بشكل أساسي من أجل المال ، لكن هذا يوضح كيف تقدر Apple باحثين مستقلين. لقد أمضينا الكثير من الوقت منذ سبتمبر 2024 في محاولة لإقناع Apple بأن هذا كان خطأً. نحن سعداء لأننا نجحت. وسنفعل ذلك مرة أخرى.”
زلة أمنية محتملة
وصف جورجيا كوك ، محلل الأمن في ABI Research ، القضية بأنها “ليست حشرة صغيرة”.
وقال كوك: “إنها جحيم من زلة من Apple ، حقًا”. “بالنسبة للمستخدم ، هذا هو الضعف الذي يظهر الفشل في بروتوكولات الأمان الأساسية ، مما يعرضها على شكل هجوم طويل الأمد يتطلب تطورًا محدودًا.”
وفقًا لكوك ، ربما لن يصادف معظم الناس هذه المشكلة لأنها تتطلب مجموعة محددة من الظروف ، مثل اختيار تحديث تسجيل الدخول الخاص بك من أ مدير كلمة المرور، القيام بذلك على شبكة عامة وعدم ملاحظة ما إذا كنت يتم إعادة توجيهك. ومع ذلك ، إنه تذكير جيد عن سبب تحديث أجهزتك بانتظام.
وأضافت أنه يمكن للناس اتخاذ خطوات إضافية لحماية أنفسهم من هذه الأنواع من نقاط الضعف ، وخاصة على الشبكات المشتركة. وهذا يشمل حركة مرور جهاز التوجيه من خلال شبكة خاصة افتراضية، تجنب المعاملات الحساسة مثل تغييرات بيانات الاعتماد على شبكة Wi-Fi العامة وعدم إعادة استخدام كلمات المرور.
