在iOS 18系统首次推出密码应用到18.2版本更新的三个月期间,苹果密码应用(Passwords app)存在潜在安全隐患。网络安全研究机构米斯克(Mysk)发现,该应用在获取网站图标和打开链接时使用了未加密的HTTP协议,而非更安全的HTTPS协议。这一漏洞可能让处于同一网络的攻击者截获数据流量,将用户诱导至伪造网站窃取登录凭证。
该漏洞由米斯克(Mysk)研究团队于2024年9月发现并报告给苹果公司(Apple)。苹果在同年12月发布的iOS 18.2更新中完成修复。值得注意的是,苹果直到2025年3月17日才正式公开披露该漏洞,这种延迟披露策略可能是为了确保大多数用户完成系统更新后才公布漏洞细节。
根据安全专家分析,攻击实施需要同时满足四大条件:
用户必须连接公共WiFi等开放网络
攻击者需提前知晓漏洞并部署攻击
用户需通过密码应用打开具体密码条目并点击网站链接
攻击者需实时监控网络并注入伪造页面
目前安全建议包括:
立即升级至iOS 18.2或更新版本
检查密码应用使用记录,未通过应用内链接修改密码则无需担心
对银行账户、电子邮箱等敏感账户进行定期密码更新
补充说明显示:
使用自动填充功能时不受漏洞影响
在安全网络环境下HTTP请求会自动跳转HTTPS
因攻击条件严苛,实际风险概率极低
需要特别指出的是,该漏洞仅存在于用户主动点击密码应用内链接的场景,日常使用自动填充功能登录不受影响。苹果公司(Apple)表示,截至目前尚未发现该漏洞被实际利用的案例。
