Apple исправила ошибку в своем приложении «Пароли» с декабрьским обновлением iOS 18.2, которая делала пользователей уязвимыми к фишинговым атакам в течение трех месяцев с момента запуска iOS 18.

Согласно обновлению безопасности Apple, замеченному 9to5Mac, приложение «Пароли» отправляло незашифрованные запросы на получение логотипов и значков, связанных с сохраненными паролями пользователей.

Без защиты шифрованием злоумышленник в той же сети Wi-Fi мог перенаправить браузер пользователя на клонированный фишинговый сайт, где могли быть украдены данные для входа. Уязвимость была впервые обнаружена исследователями безопасности разработчика Mysk и сообщена в сентябре.

В примечаниях к выпуску безопасности iOS 18.2 от Apple ошибка описывалась следующим образом:

Влияние: Пользователь, находящийся в привилегированном сетевом положении, мог привести к утечке конфиденциальной информации

Описание: Эта проблема была решена путем использования HTTPS при передаче информации по сети.

Apple указывает на эту ошибку в обновлениях содержимого безопасности для Mac, iPad и Vision Pro, что свидетельствует о том, что эта проблема была исправлена во многих операционных системах.