Ứng dụng Passwords của Apple dễ bị tấn công lừa đảo

Ứng dụng Passwords của Apple từng bị lỗ hổng HTTP nghiêm trọng trong 3 tháng, cho phép tấn công lừa đảo đánh cắp mật khẩu 

Apple đã tạo ra ứng dụng Passwords mới trong iOS 18 để giúp người dùng quản lý mật khẩu dễ dàng hơn. Tuy nhiên, ứng dụng này đã có một lỗi bảo mật nghiêm trọng kéo dài gần 3 tháng, từ khi ra mắt cho đến khi được sửa trong iOS 18.2.

Các nhà nghiên cứu từ Mysk phát hiện ra rằng ứng dụng Passwords đã kết nối với hơn 130 trang web qua giao thức HTTP không an toàn. Ứng dụng tải các biểu tượng trang web và mở các trang đặt lại mật khẩu qua HTTP thay vì HTTPS bảo mật.

Điều này tạo ra một lỗ hổng bảo mật lớn. Nếu bạn sử dụng WiFi công cộng (như ở quán cà phê, sân bay hay khách sạn), kẻ tấn công có thể:

• Chặn kết nối HTTP của bạn
• Chuyển hướng bạn đến trang web giả mạo
• Đánh cắp mật khẩu khi bạn nhập vào

Apple đã âm thầm sửa lỗi này trong iOS 18.2 (phát hành tháng 12/2024), nhưng chỉ mới công khai thừa nhận gần đây. Ứng dụng Passwords giờ đây sử dụng HTTPS cho mọi kết nối.