iOS 18「密碼」App安全漏洞曝光！Apple緊急修復用戶需即時更新以自保

Apple的iOS 18更新帶來了一個專為密碼管理設計的新App，名為「密碼 (Passwords)」，旨在讓用戶更便捷地管理自己的帳號與密碼。不過，這個新功能似乎一開始就踩了個大坑。安全研究小組Mysk最近揭露了一個讓人瞠目結舌的發現：這款應用存在一個嚴重的安全漏洞，可能讓用戶在過去三個月遭到釣魚攻擊，直到iOS 18.2的更新才得以修補。

不安全連線引發警報

研究人員在檢查iPhone的「應用程式隱私報告」功能時，意外發現Passwords App居然與超過130個網站建立了不安全的HTTP連線。進一步的分析顯示，這款密碼管理App在加載帳號圖示和網站標誌時，竟然使用了未加密的HTTP協議。更令人震驚的是，當用戶嘗試「重設密碼」時，系統竟預設通過HTTP開啟重設頁面，而非加密更嚴密的HTTPS。

釣魚攻擊示範

Mysk團隊進行了一次示範，展示了當用戶在密碼App中點擊重設密碼連結時，如何容易地成為釣魚攻擊的目標。攻擊者可以輕易攔截這些HTTP請求，並將受害者引導至一個假冒的Microsoft Live登入頁面。一旦受害者在這個偽裝的頁面上輸入了自己的憑證，攻擊者就能夠掌握這些資訊，進而可能對受害者的帳戶發動進一步的攻擊。

如何保護自己

幸好，這個問題已經在iOS 18.2更新中得到解決。Passwords App現在強制使用HTTPS連線，以確保所有的帳號圖示下載和密碼重設頁面都是經過加密傳輸。不過，為了自身安全，用戶仍需要立即檢查自己的iPhone是否已經更新到iOS 18.2或更高版本。此外，用戶還可以採取以下幾個步驟來進一步提昇密碼管理的安全性：

– 保持系統更新：定期檢查並更新iOS版本，以獲得最新的安全補丁。
– 避免使用公共Wi-Fi進行敏感操作：這些網絡容易遭受中間人攻擊。
– 啟用VPN來加密流量：這樣即便在不安全的網絡環境下，也能有效防止流量被攔截。

– 使用強密碼與雙重驗證：增加帳戶被盜的難度。
– 定期檢查帳戶活動：一旦發現可疑登入紀錄，立即變更密碼並檢查帳戶。