からiOS 18Passwords AppがiOS 18.2アップデートにデビューしたとき、ユーザーは特権ネットワーク上の悪いアクターにパスワードを公開することができましたが、おそらく安全です。
AppleはiOS 18 inをリリースしました2024年9月新しいパスワードアプリでは、リンクを開いたりアイコンを取得したりするときに、HTTPSではなく、安全性の低いHTTPプロトコルに依存していました。これは、特権ネットワーク上の悪いアクターがHTTPリクエストを傍受し、ユーザーを偽のWebサイトにリダイレクトしてログインを収穫できることを意味しました。
セキュリティリサーチカンパニーのMyskはこの問題を明らかにし、9月にAppleに報告し、パスワードアプリはiOS 18.2で12月にパッチを適用されました。つまり、脆弱性はこれらの3か月間野生で生きており、iOS 18.2より前にリリースを実行している人にとっては引き続きありました。
アップルはしませんでした開示する2025年3月17日までの脆弱性またはパッチ - 発見されました 9to5mac。これにより、まだ更新されていなかったユーザーを保護し、特定のしきい値に達するまで問題をラップし続ける可能性がありました。
iOS 18.2より前に誰かがまだ何かを実行している場合は、できるだけ早く更新する必要があります。ただし、攻撃ベクトルの特異性により、誰もが脆弱性を標的にする可能性は非常に低いです。
Apple Passwordsアプリを介してパスワードを公開するには、ユーザーは以下を行う必要があります。
- コーヒーショップや空港のように、悪い俳優もいる可能性のあるWi-Fiネットワークにいる。
- 悪い俳優は脆弱性を知り、積極的にそれを悪用しようとする必要があります。
- ユーザーは、Appleパスワードを開き、パスワードを開き、アプリのリンクをタップして、パスワードアプリからログインにリダイレクトする必要があります。
- 悪い俳優はこれを探してトラフィックを傍受する必要があり、あなたが到達しようとしているウェブサイトの偽のログインページを交換します。
Autofill関数を使用してアプリやWebサイトにサインインするために使用される場合、Passwordsアプリは脆弱ではありませんでした。アプリからログインページを起動するときにのみ発生しました。
HTTPリクエストは自動的にHTTPSにリダイレクトされるため、悪いアクターに浸透したネットワーク外のパスワードアプリの一般的な使用は無害でした。野生で脆弱性が悪用される可能性はほとんどありません。
パスワードアプリの脆弱性について何をすべきか
この脆弱性に心配している場合は、今日取ることができるいくつかのステップがあります。最も明白なのは、すべてのデバイスオペレーティングシステムを最新バージョンに更新することです。
パスワードアプリの使用を思い出してください。パスワードを変更したことがないか、Passwordsアプリからリンクを使用してログインしようとした場合、またはそれが可能であることに気付いていない場合は、問題ありません。
あなたがまだ心配しているなら、あなたのより機密のアカウントのいくつかのパスワードを変更することは決して悪い考えではありません。銀行、電子メール、作業、およびその他の重要なアカウントのパスワードを更新してください。
