苹果密码应用曝安全漏洞：黑客可利用钓鱼攻击窃取用户凭证，iOS 18.2 已修复

黑客猎手：揭秘苹果密码应用安全漏洞，iOS 18.2 抢修中

　　 3月19日消息，科技媒体9to5Mac于昨日（3月18日）发文指出，安全团队Mysk在查看iPhone的“App隐私报告”后发现，“Passwords”这款官方独立应用存在HTTP协议漏洞，该问题直到iOS 18.2版本才得以修复。

　　 注：苹果在2024年9月发布的iOS18系统中推出了独立的密码管理应用“Passwords”。然而，在该功能于2024年12月通过iOS18.2更新修复漏洞之前，其间约有3个月的时间用户可能面临钓鱼攻击的风险。

　　 安全团队透露，Passwords应用在过去曾使用不安全的HTTP协议与多达130个网站进行通信，其中包括下载账户图标以及自动跳转至密码重置页面等功能。专家警告称，当用户连接到公共Wi-Fi网络时，黑客可能拦截Passwords发出的初始HTTP请求，从而带来安全隐患。

　　 仿冒的钓鱼页面（例如伪造的微软live.com）会诱使用户输入密码，从而使攻击者能够窃取凭证并发起进一步攻击。在苹果iOS 18.2之前的版本中，没有强制使用加密的HTTPS协议，同时也未提供关闭图标下载的功能，这使得相关应用经常向网站发送请求。

　　 苹果在2024年12月推出的iOS 18.2更新中，于3月17日的更新日志里提到已修复Passwords应用中的这一漏洞。此次更新默认采用加密协议，防止出现未受保护的HTTP连接情况。