Apple 的 Passwords 应用程序存在安全漏洞，可能“持续多年”

快速阅读: 据《CNET 公司》称，苹果修复了iOS密码应用中的一个长期存在的漏洞，该漏洞曾使用户面临网络钓鱼攻击风险。尽管修复姗姗来迟，但专家认为其影响有限。专家建议用户通过更新设备、使用VPN等方式加强网络安全防护。

苹果修复了iOS密码应用中的一个漏洞，这一漏洞曾让iPhone用户面临多年的网络钓鱼攻击风险。在公司的安全页面说明中，苹果将此问题描述为“处于特权网络位置的用户可能能够泄露敏感信息”。该公司表示，该问题已通过在网络通信中使用HTTPS得以解决。

最初，这一漏洞由Mysk的安全研究人员发现，并于去年九月向苹果报告。然而，似乎在接下来的几个月里仍未得到修复。直到周三，Mysk在推文中指出，自从iOS 14引入密码泄露检测功能以来，Apple密码默认使用的是不安全的HTTP协议。“多年来，iPhone用户一直面临网络钓鱼攻击的风险，”Mysk在推文中写道。“iOS 18中的专用密码应用实际上是设置中旧版密码管理器的重新包装，它也继承了所有旧的漏洞。”

尽管如此，成为该漏洞受害者的概率极低。该漏洞同样在其他产品的安全更新中得到了修正，包括Mac、iPad和Vision Pro。在Mysk发布的一段YouTube视频的字幕中，研究人员展示了iOS 18密码应用如何默认通过不安全的HTTP打开链接并下载账户图标，从而使其容易受到网络钓鱼攻击。视频还显示了拥有网络访问权限的攻击者如何拦截并重定向请求到恶意网站。

根据9to5Mac的报道，当攻击者与用户在同一网络上时，例如在咖啡店或机场，此问题会带来麻烦，攻击者可以在请求被重定向之前拦截HTTP请求。苹果方面没有回应关于该问题及其更多细节的置评请求。

Mysk表示，发现该漏洞并不符合获得奖励的标准，因为它未达到影响标准或属于任何合格类别。“是的，这感觉像是为一家3万亿美元的公司做慈善工作，”该公司在推特上写道。“我们并不是主要为了钱才这样做，但这体现了苹果对独立研究人员的重视。自2024年9月以来，我们花了大量时间试图说服苹果这是一个漏洞。我们很高兴成功了，如果需要的话，我们会再次这样做。”

ABI Research的安全分析师Georgia Cooke称该问题“并非小问题”。“这对苹果来说是一个相当严重的失误，”Cooke说。“对于用户来说，这是令人担忧的漏洞，暴露出基础安全协议的缺陷，使他们暴露于长期存在的攻击形式，而这种攻击形式需要的技巧有限。”

据Cooke称，大多数人可能不会遇到这个问题，因为它需要特定的条件组合，例如选择从密码管理器更新登录信息，在公共网络上进行操作，并且在被重定向时未察觉。不过，这也提醒人们定期更新设备的重要性。她补充说，人们可以采取额外措施来保护自己免受此类漏洞的影响，尤其是在共享网络上。这包括通过虚拟私人网络（VPN）路由设备流量，避免在公共Wi-Fi环境下进行如凭证更改等敏感操作，并且尤其是不要重复使用密码。

经过润色后的文章如下：

(以上内容均由Ai生成)