Aplikace Hesla, který Apple představil za účelem zjednodušení správy přihlašovacích údajů na svých zařízeních, byl středem nedávné kontroverze poté, co byla objevena vážná zranitelnost.
Výzkumníci z firmy Mysk zabývající se kybernetickou bezpečností zjistili, že tento nástroj vystavil tisíce uživatelů potenciálním phishingovým útokům díky použití nešifrovaných připojení HTTP. Chcete-li se dozvědět více o tom, jak se nestát obětí těchto hrozeb, můžete si přečíst, jak nám Apple pomáhá identifikovat legitimní e-maily a vyhnout se phishingu.
Tato bezpečnostní chyba je údajně na místě několik měsíců a umožňuje útočníkům s přístupem k síti zachytit a upravit požadavky na resetování hesla. To znamená, že za určitých podmínek mohl být uživatel neúmyslně přesměrován na falešnou stránku, která má ukrást jeho přihlašovací údaje.
Jak phishingový útok fungoval
Podle analýzy odborníků Mysk byl problém v tom, že aplikace požadované informace o uložených službách bez zajištění bezpečného připojení. Jednoduše řečeno, jakýkoli útočník připojený ke stejné síti Wi-Fi by mohl zachytit provoz a vložit podvodnou stránku místo legitimního webu. Tento typ útoku je běžný, jak bylo zmíněno v souvislosti s uživateli iPhonů, kteří jsou terčem hromadného phishingu.
Tento útok mohl být snadno proveden na veřejných sítích, jako jsou ty v kavárnách nebo na letištích, kde kyberzločinci často loví nic netušící oběti. Jakmile uživatel zadal svá data na falešnou stránku, informace byly v rukou útočníka, který je mohl použít k nelegálnímu přístupu ke svým účtům.
Apple reaguje opravou v iOS 18.2
Přestože problém vyšel najevo nedávno, Apple tuto zranitelnost opravil v prosinci aktualizací iOS 18.2. Implementovaným řešením bylo povinné přijetí protokolu HTTPS v připojení aplikací, které brání útočníkům ve zneužití bezpečnostní díry. Je však důležité mít na paměti, že zabezpečení online vyžaduje také osvědčené postupy, jak si můžete přečíst v našich bezpečnostních tipech pro váš iPhone.
Skutečnost, že tato zranitelnost existuje tak dlouho bez odhalení, však vyvolává otázky ohledně bezpečnostních kontrol společnosti Apple v jejích nových aplikacích. Společnost tento problém veřejně neoznámila, dokud na to výzkumníci neupozornili, což vyvolalo obavy mezi uživateli a odborníky na kybernetickou bezpečnost.
Rizika slepé důvěry správcům hesel
Tento typ selhání zpochybňuje spolehlivost správců hesel integrovaných do operačních systémů. Zatímco nástroje jako aplikace Apple Passwords nabízejí v mnoha ohledech pohodlí a zvýšenou bezpečnost, žádné řešení není zcela spolehlivé. Obecným doporučením zůstává dvoufaktorové ověřování (2FA) na všech kritických účtech, což přidává a další vrstva ochrany v případě, že dojde ke kompromitaci přihlašovacích údajů, zejména proto, že je nezbytné používat dvoufaktorové ověřování k ochraně důležitých účtů, jako je iCloud.
Kromě toho je nezbytné, aby uživatelé svá zařízení aktualizovali pomocí nejnovějších verzí systému iOS, protože mnoho z těchto zranitelností je opraveno pouze aktualizace softwaru. Apple posílil svůj aplikační protokol, ale ti, kteří neaktualizovali svůj operační systém, mohou být stále ohroženi tímto problémem.
Úniky a narušení bezpečnosti jsou v digitálním světě konstantní, což podtrhuje necesidad vždy si dávat pozor na možná rizika. Tento incident s aplikací Apple Passwords je připomínkou toho, že i ty nejbezpečnější nástroje mohou v určitém okamžiku selhat. Nejlepší obranou zůstává kombinace osvědčených postupů v oblasti kybernetické bezpečnosti a využití pokročilých ochranných technologií.
