Apple przeniosło menedżera haseł Pęku Kluczy do osobnej aplikacji Hasła w systemie iOS 18, co miało ułatwić zarządzanie danymi logowania.
Okazało się jednak, że przez pierwsze trzy miesiące działania oprogramowania użytkownicy byli narażeni na ataki phishingowe. Luka została odkryta przez ekspertów ds. bezpieczeństwa z grupy Mysk, którzy zauważyli podejrzane połączenia swojego iPhone’a z ponad 130 stronami internetowymi. Problem tkwił w tym, że aplikacja łączyła się z nimi za pomocą niezabezpieczonego protokołu HTTP, co otworzyło cyberprzestępcom furtkę do przechwytywania poufnych danych.
Analiza wykazała, że aplikacja Hasła nie tylko pobierała logotypy i ikony stron przez niezabezpieczone połączenie, ale również otwierała strony resetowania haseł w ten sam sposób. W praktyce oznaczało to, że jeśli haker znajdował się w tej samej sieci Wi-Fi co ofiara, mógł przechwycić ruch i przekierować użytkownika na spreparowaną stronę, gdzie mógł przejąć jego dane logowania. Takie działanie jest jednym z najczęściej wykorzystywanych sposobów oszukiwania użytkowników, a brak domyślnego użycia protokołu HTTPS w aplikacji do zarządzania hasłami jest poważnym niedopatrzeniem.
Eksperci zajmujący się cyberbezpieczeństwem byli zdziwieni, że Apple nie wdrożyło zabezpieczeń na etapie projektowania aplikacji. Używanie protokołu HTTPS jest podstawowym standardem w dzisiejszym Internecie, a w przypadku menedżera haseł powinno być absolutną koniecznością. Badacze zwrócili także uwagę na brak możliwości wyłączenia pobierania ikon stron internetowych, co mogło ograniczyć ryzyko.
Chociaż wiele stron internetowych automatycznie przekierowuje ruch z HTTP na HTTPS, to w warunkach ataku typu „man-in-the-middle” cyberprzestępca mógł przechwycić to przekierowanie i zamiast tego wyświetlić fałszywą stronę. To szczególnie groźne dla użytkowników, którzy nie zwracają uwagi na szczegóły adresów URL i po prostu wpisują swoje dane logowania w podstawionym formularzu.
Apple naprawiło błąd w grudniu 2024 roku, ale nie informowało o tym użytkowników. Dopiero teraz firma oficjalnie przyznała, że problem istniał i został usunięty w aktualizacji do iOS 18.2. Obecnie aplikacja Hasła działa już w oparciu o protokół HTTPS, co znacząco podnosi poziom bezpieczeństwa. Użytkownicy powinni jednak upewnić się, że korzystają z najnowszej wersji systemu, aby uniknąć zagrożeń wynikających z wcześniejszej luki.
Nie wiadomo, ile osób mogło zostać poszkodowanych w wyniku tej wady, ale sytuacja pokazuje, że nawet największe firmy mogą popełniać poważne błędy w obszarze ochrony danych. Każdy użytkownik powinien zwracać uwagę na to, jakie aplikacje mają dostęp do jego haseł i jak są one zabezpieczone. Regularne aktualizowanie systemu oraz korzystanie z menedżerów haseł wspierających wyłącznie bezpieczne połączenia to podstawowe kroki, które pozwalają uniknąć tego typu zagrożeń.
