Τρεις ολόκληρους μήνες η εφαρμογή Passwords της Apple ήταν ευάλωτη σε επιθέσεις phishing

Στην σουίτα με τα νέα χαρακτηριστικά του iOS 18, κάτι ξεχωριστό που πρόσθεσε η Apple ήταν το εργαλείο διαχείρισης κωδικών πρόσβασης Keychain που προηγουμένως ήταν κρυμμένο στις “Ρυθμίσεις” και τώρα έχει αποκτήσει την μορφή αυτόνομης εφαρμογής που ονομάζεται Passwords. Ήταν η πρώτη κίνηση της εταιρείας να κάνει τη διαχείριση διαπιστευτηρίων πιο βολική για τους χρήστες. Τώρα αποκαλύφθηκε ότι ένα σοβαρό σφάλμα HTTP άφησε τους χρήστες του Passwords ευάλωτους σε επιθέσεις phishing για σχεδόν τρεις μήνες, από την αρχική κυκλοφορία του iOS 18 έως την ενημέρωση κώδικα στο iOS 18.2.

Το ελλάτωμα περί ενός σοβατού θέματος ασφαλείας στην εφαρμογή, ανακάλυψαν για πρώτη φορά οι ερευνητές ασφαλείας στο Mysk και παρατήρησαν ότι η αναφορά απορρήτου εφαρμογών του iPhone έδειξε ότι οι κωδικοί πρόσβασης είχαν έρθει σε επαφή με εκπληκτικούς 130 διαφορετικούς ιστότοπους λόγω μη ασφαλούς κίνησης HTTP. Αυτό ώθησε το δίδυμο να διερευνήσει περαιτέρω το ζήτημα, διαπιστώνοντας ότι όχι μόνο η εφαρμογή έβγαζε λογότυπα και εικονίδια λογαριασμού μέσω HTTP, αλλά και από προεπιλογή το άνοιγμα σελίδων επαναφοράς κωδικού πρόσβασης χρησιμοποιώντας το μη κρυπτογραφημένο πρωτόκολλο. “Αυτό άφησε τον χρήστη ευάλωτο: ένας εισβολέας με προνομιακή πρόσβαση στο δίκτυο θα μπορούσε να υποκλέψει το αίτημα HTTP και να ανακατευθύνει τον χρήστη σε έναν ιστότοπο ηλεκτρονικού ψαρέματος”, είπε ο Mysk στο 9to5Mac.

“Μας εξέπληξε το γεγονός ότι η Apple δεν επέβαλε το HTTPS από προεπιλογή για μια τόσο ευαίσθητη εφαρμογή. Επιπλέον, η Apple θα πρέπει να παρέχει στους χρήστες με επίγνωση της ασφάλειας μια επιλογή να απενεργοποιούν εντελώς τη λήψη εικονιδίων. Δεν αισθάνομαι άνετα με τον διαχειριστή κωδικών πρόσβασης να κάνει συνεχώς ping σε κάθε ιστότοπο για τον οποίο διατηρώ κωδικό πρόσβασης, παρόλο που οι κλήσεις που στέλνει ο Κωδικός πρόσβασης δεν περιέχουν κανένα αναγνωριστικό.”

Οι περισσότεροι σύγχρονοι ιστότοποι σήμερα επιτρέπουν μη κρυπτογραφημένες συνδέσεις HTTP, αλλά τις ανακατευθύνουν αυτόματα στο HTTPS χρησιμοποιώντας μια ανακατεύθυνση 301. Είναι σημαντικό να σημειωθεί ότι ενώ η εφαρμογή Passwords πριν από το iOS 18.2 θα έκανε ένα αίτημα μέσω HTTP, θα ανακατευθυνόταν στην ασφαλή έκδοση HTTPS. Υπό κανονικές συνθήκες, αυτό θα ήταν απολύτως εντάξει, καθώς οι αλλαγές κωδικού πρόσβασης πραγματοποιούνται σε μια κρυπτογραφημένη σελίδα, διασφαλίζοντας ότι τα διαπιστευτήρια δεν αποστέλλονται σε απλό κείμενο.

Πλέον η εφαρμογή Passwords χρησιμοποιεί το HTTPS από προεπιλογή για όλες τις συνδέσεις, επομένως βεβαιωθείτε ότι εκτελείτε τουλάχιστον την έκδοση 18.2 στις συσκευές σας!

[via]