苹果密码应用漏洞曝光：黑客可钓鱼窃取凭证，目前已修复

  近日，一则有关苹果官方应用的安全漏洞消息引发广泛关注。据科技媒体 9to5Mac 在 3 月 18 日发布的博文，安全团队 Mysk 在对 iPhone 的 “App 隐私报告” 进行深入检查后，揭露了苹果官方独立应用 “Passwords” 存在严重的 HTTP 协议漏洞，这一漏洞直至 iOS 18.2 版本才得以成功修复。​
  苹果于 2024 年 9 月正式上线 iOS 18 系统，同时推出了独立密码管理应用 “Passwords”，旨在为用户提供便捷且安全的密码管理服务。然而，从 iOS 18 上线至 2024 年 12 月 iOS 18.2 版本上线的这三个月期间，该应用却暗藏危机，众多用户在不知情的情况下暴露于钓鱼风险之中。​
安全团队 Mysk 的调查结果显示，“Passwords” 应用在与外部网站交互的过程中，曾通过不安全的 HTTP 协议与多达 130 个网站进行通信。这些通信涉及获取账户图​
标以及默打开密码重置页面等关键操作。研究人员进一步指出，当用户连接公共 WiFi 时，该漏洞的危害将被无限放大。黑客能够利用此漏洞，轻松截获 “Passwords” 应用发送的初始 HTTP 请求。随后，攻击者便会将用户巧妙地重定向至精心伪造的钓鱼页面，比如仿冒微软的live.com页面。一旦用户在这些看似真实的钓鱼页面输入密码，攻击者便能瞬间获取用户的凭证信息，进而以此为突破口，发动更为深入、危害更大的攻击。​
  回顾苹果在 iOS 18.2 之前的版本策略，并未强制使用加密的 HTTPS 协议，同时也未为用户提供关闭图标下载的选项。这一疏忽导致 “Passwords” 应用频繁地向网站发送请求，极大地增加了用户信息泄露的风险。就如同在网络的海洋中，一艘没有坚固防护的船只，极易遭受海盗的侵袭。​
值得庆幸的是，苹果在 2024 年 12 月发布的 iOS 18.2 更新中，对这一漏洞给予了高度重视并及时修复。在 3 月 17 日发布的更新日志中，明确表明该漏洞已被妥善处理。修复后的版本默认启用加密协议，有效避免了未受保护的 HTTP 连接，为用户筑牢了一道坚实的安全防线。​
此次苹果密码应用漏洞事件，再次为广大用户敲响了网络安全的警钟。网络安全风险无处不在，即便是官方精心打造的应用，也可能因一时疏忽而成为黑客攻击的目标。对于红客而言，此类事件具有重要的警示意义。红客作为维护网络安全的正义力量，需要持续关注各类安全漏洞事件，不断提升自身的技术能力和安全防范意识。