Søknad passord, som Apple introduserte for å forenkle legitimasjonsadministrasjonen på enhetene sine, har vært i sentrum av en nylig kontrovers etter at en alvorlig sårbarhet ble oppdaget.
Forskere ved cybersikkerhetsfirmaet Mysk fant at verktøyet utsatte tusenvis av brukere for potensielle phishing-angrep på grunn av bruken av ukrypterte HTTP-forbindelser. For å lære mer om hvordan du unngår å bli ofre for disse truslene, kan du lese hvordan Apple hjelper oss med å identifisere legitime e-poster og forhindre phishing.
Dette sikkerhetsproblemet har angivelig vært på plass i flere måneder, og lar angripere med nettverkstilgang avskjære og endre forespørsler om tilbakestilling av passord. Dette betyr at, under visse forhold, kan en bruker utilsiktet ha blitt omdirigert til en falsk side designet for å stjele deres legitimasjon.
Hvordan phishing-angrepet fungerte
Ifølge analysen til Mysk-eksperter var problemet at søknaden bedt om informasjon om lagrede tjenester uten å sikre en sikker tilkobling. Enkelt sagt kan enhver angriper koblet til det samme Wi-Fi-nettverket fange opp trafikk og sette inn en uredelig side i stedet for det legitime nettstedet. Denne typen angrep er vanlig, som nevnt i sammenheng med iPhone-brukere som er målrettet for massefisking.
Dette angrepet kunne lett ha blitt utført på offentlige nettverk, for eksempel de på kaffebarer eller flyplasser, der nettkriminelle ofte tære på intetanende ofre. Når brukeren la inn dataene sine på den falske siden, var informasjonen i hendene på angriperen, som kunne bruke den til ulovlig tilgang til kontoene deres.
Apple reagerer med en løsning i iOS 18.2
Selv om problemet kom nylig, løste Apple sikkerhetsproblemet i desember med oppdateringen iOS 18.2. Løsningen som ble implementert var obligatorisk vedtak av protokollen HTTPS i applikasjonstilkoblinger, og hindrer angripere i å utnytte sikkerhetshullet. Det er imidlertid viktig å huske at nettsikkerhet også krever god praksis, som du kan lese i våre sikkerhetstips for din iPhone.
Det faktum at denne sårbarheten har eksistert så lenge uoppdaget, reiser imidlertid spørsmål om Apples sikkerhetskontroller i de nye appene. Selskapet rapporterte ikke offentlig om problemet før forskere påpekte det, noe som vekket bekymring blant brukere og nettsikkerhetseksperter.
Risikoen ved blindt å stole på passordbehandlere
Denne typen feil stiller spørsmål ved pålitelighet av passordbehandlere integrert i operativsystemer. Mens verktøy som Apples Passord-app tilbyr bekvemmelighet og økt sikkerhet på mange måter, ingen løsning er helt idiotsikker. Den generelle anbefalingen gjenstår å ha tofaktorautentisering (2FA) på alle kritiske kontoer, som legger til en ekstra beskyttelseslag i tilfelle legitimasjon blir kompromittert, spesielt siden det er viktig å bruke tofaktorautentisering for å beskytte kritiske kontoer som iCloud.
I tillegg er det viktig at brukerne holder enhetene sine oppdatert med de nyeste versjonene av iOS, da mange av disse sårbarhetene kun rettes med programvareoppdateringer. Apple har styrket sin app-protokoll, men de som ikke har oppdatert operativsystemet sitt kan fortsatt være i faresonen for problemet.
Lekkasjer og sikkerhetsbrudd er en konstant i den digitale verden, noe som understreker Necesidad å alltid være oppmerksom på mulige risikoer. Denne hendelsen med Apples Passord-app er en påminnelse om at selv de sikreste verktøyene kan mislykkes på et tidspunkt. Det beste forsvaret er fortsatt en kombinasjon av god nettsikkerhetspraksis og bruk av avanserte beskyttelsesteknologier.
