Apple, iOS 18 yazılım güncellemesinin bir parçası olarak geçen yıl özel bir parola uygulaması yayınladı. Ayarlar uygulaması içindeki bir menü yerine, kullanıcılar parolalarına ve diğer ayrıntılara bağımsız bir uygulama aracılığıyla erişebilir. Bununla birlikte, şifreler uygulaması, kullanıcıları aynı Wi-Fi ağında bulunan saldırganların potansiyel kimlik avı saldırılarına maruz bırakan ciddi bir güvenlik kusuruna sahipti. Şirket yakın zamanda, iOS 18’in yayınlanmasından üç ay sonra güvenlik kusurunu düzelttiğini açıkladı.
Apple Sabit Şifreler Uygulaması Güvenlik Açığı iOS 18.2 Güncellemesi
İPhone üreticisi son zamanlarda değiştirdi Sürüm Notları (aracılığıyla 9to5mac) Aralık ayında piyasaya sürülen iOS 18.2 güncellemesi için. Belgede artık uygulama için düzeltmeleri tanımlayan her ikisi de ‘Parola’ başlıklı iki giriş içeriyor. Apple, MySK güvenlik araştırmacıları Talal Haj Bakry ve Tommy Mysk’e güvenlik kırılganlığını tanımlamasıyla kredilendirdi.
Şirketin güncellenmiş destek belgesine göre, iOS 18.2’deki Passwords uygulaması için ilk yama, ayrıcalıklı bir ağ konumundaki bir kullanıcının hassas bilgileri sızdırmasına ve ağ trafiğini değiştirmesine izin veren iki kusur düzeltti.
MySK araştırmacıları, Site simgeleri gibi belirli sitelerin ayrıntılarını getirirken Apple’ın Passwords uygulamasının şifreli bağlantılar (HTTPS) kullanmadığını keşfetti. Benzer şekilde, parola sıfırlama sayfaları HTTP üzerinden yüklendi.
Aynı kusur, aynı Wi-Fi ağındaki bir saldırganın ağ isteğini kesmesine izin verecek ve cihazı meşru olan yerine bir kimlik avı web sitesi yüklemeye yönlendirecektir. Kullanıcı web sayfasına güvenirse, kimlik bilgilerini hileli web sitesinde girebilirler.
Siber güvenlik firması sorunu Eylül ayında Apple’a bildirdi ve Apple’ın gözden geçirilmiş destek belgesi, Aralık ayında iOS 18.2 ile ilgili sorunlar için düzeltmeler yaptığını ortaya koyuyor. İOS 18.2 ve iPados 18.2 veya daha yeni sürümlerde çalışan uygun iPhone ve iPad modelleri kusura karşı savunmasız olmamalıdır.
