Dalam iOS 18, Apple telah mengasingkan alat pengurusan kata laluan yang sebelum ini hanya tersembunyi di bahagian ‘Settings’, kepada aplikasi kendiri yang dinamakan Passwords.
Kini, didedahkan bahawa pepijat HTTP yang serius telah menyebabkan pengguna Passwords berisiko terhadap serangan pancingan data selama hampir tiga bulan, bermula dari pelancaran awal iOS 18 sehingga tampalan diperkenalkan dalam iOS 18.2.
Menurut penyelidik keselamatan Mysk, fungsi aplikasi untuk menukar kata laluan secara langsung sebelum ini membuka laman web perkhidmatan berkaitan melalui HTTP yang tidak selamat secara default.
🚨 Apple's Passwords app was vulnerable to phishing attacks in iOS versions prior to 18.2. Its functionality to change a password from within the app used to open an account's website via insecure HTTP by default. This allowed an attacker with privileged network access to easily… pic.twitter.com/VrqFWSk4z1
— Mysk 🇨🇦🇩🇪 (@mysk_co) March 18, 2025
Situasi ini membolehkan penyerang dalam rangkaian yang sama – seperti di lapangan terbang atau kafe – memintas dan mengalihkan pelayar ke laman pancingan data yang menyerupai laman sebenar bagi mencuri kelayakan log masuk pengguna.
Walaupun isu ini telah diperbaiki secara senyap pada Disember tahun lalu, Apple hanya mendedahkannya pada 17 Mac 2025. Kini, aplikasi Passwords menggunakan HTTPS secara default untuk semua sambungan.
Oleh itu, pastikan peranti anda menjalankan sekurang-kurangnya iOS 18.2 untuk perlindungan keselamatan yang lebih baik.
{suggest}
Sumber: 9To5Mac