Alkalmazás jelszavak, amelyet az Apple azért vezetett be, hogy leegyszerűsítse a hitelesítő adatok kezelését eszközein, a közelmúltban egy vita középpontjába került, miután egy komoly sebezhetőséget fedeztek fel.
A Mysk kiberbiztonsági cég kutatói megállapították, hogy az eszköz több ezer felhasználót tett ki potenciális adathalász támadásoknak a titkosítatlan HTTP-kapcsolatok használata miatt. Ha többet szeretne megtudni arról, hogyan kerülheti el, hogy e fenyegetések áldozatává váljon, olvassa el, hogyan segít az Apple azonosítani a jogos e-maileket és megakadályozni az adathalászatot.
Ez a biztonsági rés állítólag több hónapja érvényben van, és lehetővé teszi a hálózati hozzáféréssel rendelkező támadók számára, hogy elfogják és módosítsák a jelszó-visszaállítási kérelmeket. Ez azt jelenti, hogy bizonyos feltételek mellett a felhasználót véletlenül átirányíthatták egy hamis oldalra, amelynek célja a hitelesítési adatok ellopása.
Hogyan működött az adathalász támadás
A Mysk szakértőinek elemzése szerint a probléma az volt, hogy az alkalmazás információkat kért a tárolt szolgáltatásokról a biztonságos kapcsolat biztosítása nélkül. Egyszerűen fogalmazva, bármely támadó, amely ugyanahhoz a Wi-Fi hálózathoz csatlakozik, elfoghatja a forgalmat, és beszúrhat egy csaló oldalt a legitim webhely helyett. Az ilyen típusú támadások gyakoriak, amint azt az iPhone-felhasználók tömeges adathalászat célpontja kapcsán említettük.
Ezt a támadást könnyen végrehajthatták volna nyilvános hálózatokon, például kávézókban vagy repülőtereken, ahol a kiberbűnözők gyakran gyanútlan áldozatokra zsákmányolnak. Miután a felhasználó megadta adatait a hamis oldalon, az információ a támadó kezébe került, aki felhasználhatta azt, hogy illegálisan hozzáférjen fiókjához.
Az Apple javítással reagál az iOS 18.2-ben
Bár a probléma nemrég derült ki, az Apple decemberben a frissítéssel javította a biztonsági rést iOS 18.2. A megvalósított megoldás a protokoll kötelező elfogadása volt HTTPS alkalmazáskapcsolatokban, megakadályozva, hogy a támadók kihasználják a biztonsági rést. Fontos azonban észben tartani, hogy az online biztonsághoz bevált gyakorlatokra is szükség van, amint azt az iPhone készülékére vonatkozó biztonsági tippjeinkben olvashatja.
Azonban az a tény, hogy ez a sérülékenység olyan régóta és észrevétlenül létezik, kérdéseket vet fel az Apple biztonsági ellenőrzéseivel kapcsolatban az új alkalmazásaiban. A cég mindaddig nem jelentett nyilvánosan a problémát, amíg a kutatók rá nem mutattak, ami aggodalmakat keltett a felhasználók és a kiberbiztonsági szakértők körében.
A jelszókezelőkben való vak megbízás kockázatai
Ez a fajta meghibásodás megkérdőjelezi a megbízhatóság operációs rendszerekbe integrált jelszókezelők. Míg az olyan eszközök, mint az Apple Jelszavak alkalmazás, számos szempontból kényelmet és nagyobb biztonságot kínálnak, egyetlen megoldás sem teljesen bolondbiztos. Az általános ajánlás továbbra is a kéttényezős hitelesítés (2FA) alkalmazása az összes kritikus fiókban, ami hozzáad egy extra védelmi réteg abban az esetben, ha a hitelesítési adatok veszélybe kerülnek, különösen azért, mert elengedhetetlen a kéttényezős hitelesítés használata a kritikus fiókok, például az iCloud védelmében.
Ezen túlmenően elengedhetetlen, hogy a felhasználók az iOS legújabb verzióival frissítsék eszközeiket, mivel sok ilyen sérülékenységet csak a szoftverfrissítések. Az Apple megerősítette alkalmazásprotokollját, de akik nem frissítették operációs rendszerüket, továbbra is fennállhat a probléma veszélye.
A szivárgások és a biztonsági megsértések állandó jelenségek a digitális világban, ami aláhúzza a szükség hogy mindig éber legyen a lehetséges kockázatokra. Ez az Apple Jelszavak alkalmazással kapcsolatos incidens emlékeztet arra, hogy még a legbiztonságosabb eszközök is meghibásodhatnak egy bizonyos ponton. A legjobb védelem továbbra is a helyes kiberbiztonsági gyakorlatok és a fejlett védelmi technológiák alkalmazásának kombinációja.
