İPhone şifre uygulamasında bir kusur keşfedildi. Saldırganların, kullanıcıyı kötü amaçlı kimlik avı sayfasında yeniden yönlendirmek için başvuru tarafından gönderilen teminatsız talepleri kesmesine olanak tanır. Yıllar sonra Apple nihayet kusuru düzeltti.
20 Mart 2025 güncellemesi
MySK araştırmacılarım, parola yöneticisinin tam bir uygulama haline gelmesinden çok önce, hataların yıllardır şifrelerde bulunduğunu belirtiyor. X'te MySK, “İPhone kullanıcıları aylarca değil, yıllardır kimlik avı saldırılarına karşı savunmasız kaldılar”. Gerçekten, Apple “İOS 14'te parola algılama işlevinin getirilmesinden bu yana varsayılan olarak teminatsız bir HTTP protokolü kullanılır”. Geçen yıl iOS 18 ile başlatılan uygulama bu hatalı işlemi üstlendi.
MySK güvenlik araştırmacıları tarafından iOS 18 güncellemesi ile açılan yeni şifreler uygulamasında (“şifreler”) bir güvenlik açığı keşfedildi. Araştırmacıların meslektaşlarımıza açıkladığı gibi 9to5macKusur iPhone kullanıcılarını yapar Kimlik avı saldırılarına karşı savunmasız.
Hassas bir Apple uygulamasında HTTP istekleri
İlk başta uzmanlar, Apple'ın başvurusunun gönderildiğini fark etti. Teminatsız HTTP istekleri 130 web sitesinin logolarını ve simgelerini elde etmek için. Bu öğeler, kaydedilen şifrelerinizle ilgili web sitelerini göstermek için kullanıldı. Varsayılan olarak, parola sıfırlama sayfaları da HTTP kullanın.
Özel bir nedenle, Apple uygulamada HTTP'den daha güvenli olan HTTPS kullanımını zorlamak istemedi. HTTP protokolü, kapıyı siber saldırılara açan şifreleme olmadan net metin verilerini iletir. Tersine, HTTPS standardı SSL/TLS protokollerini kullanarak şifrelenmiş verilere dayanmaktadır.
MySK araştırmacıları tarafından uyarılan Apple, güvenlik açığını düzeltti. Cupertino devi iOS 18.2 güncellemesinde bir düzeltme içeriyordu. Sitesinde Apple, “Ağın ayrıcalıklı pozisyonundaki kullanıcı hassas bilgileri ifşa edebilir” Hatayı sömürerek. Grup ayrıca ikinci kusurilkine bağlı, izin verecek “Ağın ayrıcalıklı pozisyonunda bir saldırgan” ile ilgili “Ağ Trafiğini Değiştir”.
Hata sırasında boşluk kaldı Üç aylık bir süreiOS 18'in dağıtımı ile iOS 18.2'nin gelişi arasında. Apple bunu ekliyor “Ağ bilgileri gönderilirken sorun HTTPS kullanılarak çözüldü”. Teminatsız HTTP isteklerinden kaçınarak Apple, olası bir forvetin iletişimi ele geçirmesini önler. Apple'ın geçen Ocak ayında konuşlandırılan iOS 18.2 ile hatayı düzelttiğini, ancak bu konuda yeni iletişim kurduğunu unutmayın.
9to5mac
20 Mart 2025 güncellemesi
MySK araştırmacılarım, parola yöneticisinin tam bir uygulama haline gelmesinden çok önce, hataların yıllardır şifrelerde bulunduğunu belirtiyor. X'te MySK, “İPhone kullanıcıları aylarca değil, yıllardır kimlik avı saldırılarına karşı savunmasız kaldılar”. Gerçekten, Apple “İOS 14'te parola algılama işlevinin getirilmesinden bu yana varsayılan olarak teminatsız bir HTTP protokolü kullanılır”. Geçen yıl iOS 18 ile başlatılan uygulama bu hatalı işlemi üstlendi.
————————–
MySK güvenlik araştırmacıları tarafından iOS 18 güncellemesi ile açılan yeni şifreler uygulamasında (“şifreler”) bir güvenlik açığı keşfedildi. Araştırmacıların meslektaşlarımıza açıkladığı gibi 9to5macKusur iPhone kullanıcılarını yapar Kimlik avı saldırılarına karşı savunmasız.
Hassas bir Apple uygulamasında HTTP istekleri
İlk başta uzmanlar, Apple'ın başvurusunun gönderildiğini fark etti. Teminatsız HTTP istekleri 130 web sitesinin logolarını ve simgelerini elde etmek için. Bu öğeler, kaydedilen şifrelerinizle ilgili web sitelerini göstermek için kullanıldı. Varsayılan olarak, parola sıfırlama sayfaları da HTTP kullanın.
Özel bir nedenle, Apple uygulamada HTTP'den daha güvenli olan HTTPS kullanımını zorlamak istemedi. HTTP protokolü, kapıyı siber saldırılara açan şifreleme olmadan net metin verilerini iletir. Tersine, HTTPS standardı SSL/TLS protokollerini kullanarak şifrelenmiş verilere dayanmaktadır.
Bu teminatsız istekler olabilir Aynı Wi-Fi ağına bağlı bir kişi tarafından ele geçirildi Hedefin iPhone'u. Sonuçta yapabilir “Kullanıcıyı bir kimlik avı web sitesine yönlendirin”. Bu kötü niyetli site daha sonra tanımlayıcılar ve şifreler de dahil olmak üzere kullanıcıların kişisel verilerini isteyebilir. Araştırmacılar, örneğin resmi Microsoft web sitesini taklit eden bir kimlik avı sayfası örneğini ele alıyor. Microsoft sitesinde olmaya ikna olan hedef, ona bağlanmak için hesabına bağlı tanımlayıcılara girebilir. Hata, havaalanı, kahve, restoran veya otel gibi kamu Wi-Fi'den geçen çok etkili saldırıların kapısını açar.
Apple, iOS 18.2 ile çekimi düzeltir
MySK araştırmacıları tarafından uyarılan Apple, güvenlik açığını düzeltti. Cupertino devi iOS 18.2 güncellemesinde bir düzeltme içeriyordu. Sitesinde Apple, “Ağın ayrıcalıklı pozisyonundaki kullanıcı hassas bilgileri ifşa edebilir” Hatayı sömürerek. Grup ayrıca ikinci kusurilkine bağlı, izin verecek “Ağın ayrıcalıklı pozisyonunda bir saldırgan” ile ilgili “Ağ Trafiğini Değiştir”.
Hata sırasında boşluk kaldı Üç aylık bir süreiOS 18'in dağıtımı ile iOS 18.2'nin gelişi arasında. Apple bunu ekliyor “Ağ bilgileri gönderilirken sorun HTTPS kullanılarak çözüldü”. Teminatsız HTTP isteklerinden kaçınarak Apple, olası bir forvetin iletişimi ele geçirmesini önler. Apple'ın geçen Ocak ayında konuşlandırılan iOS 18.2 ile hatayı düzelttiğini, ancak bu konuda yeni iletişim kurduğunu unutmayın.
Kaynak :Herhangi bir 01net haberini kaçırmamak için bizi Google News ve WhatsApp'ta takip edin.
9to5mac