Az iOS 18-ban az Apple egy fontos újítást hozott a jelszókezelés terén, amikor a Kulcstartó jelszókezelő eszközt egy önálló alkalmazásba, a Jelszavakba helyezte. Ez a lépés kényelmesebbé tette a felhasználók számára a jelszavak kezelését, azonban most kiderült, hogy a rendszerben egy súlyos biztonsági hiba volt, amely három hónapon keresztül veszélyeztette a felhasználók adatait.
A Mysk biztonsági kutatói fedezték fel a problémát, miután észrevették, hogy az iPhone alkalmazás adatvédelmi jelentése szerint a Jelszavak alkalmazás 130 különböző weboldallal lépett kapcsolatba nem biztonságos HTTP-forgalmon keresztül. Ezt követően tovább vizsgálódtak, és kiderült, hogy az alkalmazás nemcsak a fióklogókat és ikonokat hívta le HTTP-n keresztül, hanem alapértelmezés szerint a jelszó-visszaállítási oldalakat is titkosítatlan protokollal nyitotta meg. Ez lehetőséget adott arra, hogy egy támadó, aki ugyanarra a hálózatra csatlakozik, mint a felhasználó, elfogja a HTTP-kérést, és adathalász weboldalakra irányítsa át őket.
Az Apple egy olyan érzékeny alkalmazás esetében nem erőltette a HTTPS alapértelmezett használatát, és a biztonsági szakértők szerint lehetőséget kellett volna biztosítania a felhasználóknak az ikonok letöltésének letiltására, hogy elkerüljék a folyamatos kapcsolatfelvételt a weboldalakkal. Mivel a legtöbb modern weboldal automatikusan átirányítja a titkosítatlan HTTP-kapcsolatokat HTTPS-re, a biztonsági rés általában nem jelentett problémát. A gond akkor kezdődött, amikor a támadó sikeresen elfogta a HTTP-kérést egy nyilvános Wi-Fi hálózaton, és átirányította a felhasználót egy adathalász oldalra, amely akár személyes adatokat is összegyűjthetett.
Bár a hibát már decemberben csendben kijavították, az Apple csak most hozta nyilvánosságra a javítást. Az iOS 18.2-es verzióval a Jelszavak alkalmazás mostantól alapértelmezés szerint HTTPS-t használ minden kapcsolathoz, így biztosítva a felhasználók adatainak védelmét. Az érintett felhasználóknak javasolt frissíteniük az iOS 18.2-es verzióra, hogy biztosítsák a védelmüket. A hibát követően a felhasználóknak érdemes figyelemmel kísérniük a hasonló biztonsági kockázatokat, és tudatosan használniuk az alkalmazásokat, amelyek érzékeny adatokat kezelnek.
