从iOS 18 中的密码应用Passwords首次亮相到 iOS 18.2 更新,用户可能会将密码暴露给特权网络上的恶意行为者,但现在您很可能已经恢复安全。苹果于 2024 年 9 月发布了 iOS 18,同时发布了新的密码应用,但它在打开链接或获取图标时依赖于安全性较低的 HTTP 协议,而不是 HTTPS。
这意味着特权网络中的恶意行为者可以拦截 HTTP 请求,将用户重定向到一个虚假网站并获取登录信息。
安全研究公司 Mysk 发现了这一问题,并于 9 月份向苹果公司报告,而密码应用程序在 12 月份的 iOS 18.2 中打上了补丁。 这意味着,在这三个月中,该漏洞一直存在于野外,而且对于运行 iOS 18.2 之前版本的用户来说,该漏洞仍然存在。
直到 2025 年 3 月 17 日,苹果才为该漏洞打上补丁,这很可能是为了保护仍未更新的用户,并在达到一定阈值之前将问题保密。
如果有人仍在运行 iOS 18.2 之前的系统,应尽快更新。 不过,由于攻击载体的特殊性,任何人都不太可能成为该漏洞的攻击目标。
要通过 Passwords 应用程序公开密码,用户需要同时具备以下条件:
用户所在的 Wi-Fi 网络中也可能存在不良分子,比如咖啡店或机场。
坏人需要知道这个漏洞,并积极尝试利用它。
用户需要打开苹果密码,打开一个密码,然后点击应用中的一个链接,重定向到密码应用的登录页面。
不良分子需要找到这个链接并拦截流量,将一个虚假的登录页面换成你试图访问的网站。
在使用自动填充功能登录应用程序或网站时,密码应用程序不会受到攻击。 只有在从应用程序启动登录页面时才会出现漏洞。
由于 HTTP 请求会自动 301 重定向到 HTTPS,因此在被不良分子渗透的网络之外使用密码应用程序不会造成危害。 该漏洞在野外被利用的可能性很小。
如果您对该漏洞有任何担心,那么您现在可以采取一些措施。 最明显的就是将所有设备的操作系统更新到最新版本。
回想一下你对密码应用程序的使用。 如果您从未更改过密码或尝试过使用密码应用程序中的链接登录,或者甚至没有意识到这是可能的,那么您就没有问题。
如果您仍有顾虑,那么去修改一些敏感账户的密码永远不会是个坏主意。 请更新银行、电子邮件、工作和其他重要账户的密码。