Súlyos hibát találtak az Apple jelszókezelő alkalmazásában

Az Apple eszközökön sokáig csupán a Beállítások között volt elérhető a jelszavakat tartalmazó rejtett lista, azonban 2024 szeptemberében, az iOS 18-cal együtt bemutatták az új, különálló jelszókezelő alkalmazást. A 9to5Mac szerint azonban most kiderült, hogy az első pár hónapban egy súlyos sebezhetőség volt az appban, ami azért elég aggasztó egy jelszókezelőnél.

A Mysk kiberbiztonsági kutatói a saját iPhone-juk adatvédelmi jelentése nyomán bukkantak rá a hibára. A szakemberek szerint a Jelszavak app 130 különböző weboldallal lépett kapcsolatba nem biztonságos HTTP-protokollon keresztül. A további vizsgálatok rámutattak, hogy az alkalmazás nem csak fióklogókat és ikonokat hívott le a nem biztonságos kapcsolaton keresztül, hanem így nyitotta meg a jelszó-helyreállító oldalakat is.

A kutatók jelezték, hogy a csalók ezáltal könnyedén eltéríthették a kérést, és adathalász oldalakra irányíthatták át a felhasználókat.

A szakértőket meglepte, hogy az Apple nem követelte meg alapértelmezetten a biztonságosabb HTTPS-protokollt. Az Apple egyébként tavaly decemberben, titokban javította ki a hibát, és csak az elmúlt 24 órában hozta nyilvánosságra azt, tette hozzá a hvg. A Jelszavak alkalmazás most már alapértelmezés szerint HTTPS-t használ, ezért fontos, hogy legalább a 18.2-es iOS-verzió fusson az eszközein.

The post Súlyos hibát találtak az Apple jelszókezelő alkalmazásában first appeared on 24.hu.