苹果密码应用漏洞持续三月 用户遭钓鱼攻击风险

Meise

苹果近日通过iOS 18.2系统更新修复了密码管理工具的安全隐患。该漏洞自2024年9月iOS 18发布后存在，可能导致使用同一Wi-Fi网络的攻击者窃取用户敏感信息。安全研究团队Mysk发现，密码应用在调用网站图标时未启用HTTPS加密传输，使得黑客可劫持请求并引导至伪造登录页面。

漏洞运作机制： 当用户查看已保存的账户密码时，系统会自动请求相关网站的标识图标。由于该请求未加密，攻击者可利用公共网络环境将用户引导至钓鱼网站。例如在咖啡厅连入相同Wi-Fi时，恶意分子能伪造银行登录页面窃取账户信息。

修复进程：

2024年9月：Mysk团队发现漏洞并报告苹果
2024年12月：iOS 18.2、macOS 14.2及visionOS 1.2推送补丁
修复方案：所有图标请求强制启用HTTPS加密

苹果安全公告显示，该漏洞同时影响iPad、Mac及Vision Pro设备。用户需将系统升级至最新版本方可彻底消除风险。目前尚未发现实际攻击案例，但安全专家建议三个月内使用过公共Wi-Fi查看密码功能的用户立即修改重要账户密码。