IOS 18, Apple ha lanzado herramientas de administración de contraseñas: solo ingresó los parámetros e ingresó la aplicación independiente llamada contraseñas. Esta compañía fue el primer acto de administrar credenciales para los usuarios. Hoy, HTTPS tropiece, en iOS 18, en iOS 18.2, usando una edición patentada en iOS 18, en iOS 18, usando errores HTTP.
Investigadores de seguridad Almizcle Primero identificó el iPhone de su iPhone Informe de privacidad de la aplicación Las contraseñas mostradas se familiarizaron con los 130 sitios web de ensueño. Esto también forzó la página de restablecimiento de contraseña utilizando los logotipos e iconos de la cuenta en HTTP, así como el protocolo desconectado, así como. “Esta protección del usuario no está indefensa: el conector agresivo con una red privilegiada puede contener la solicitud HTTP y dirigir al usuario al sitio web de pesca”, dijo Mysk. 9to15mac.
Un espectáculo de almizcle Qué ataque de phishing se puede hacer:
“Apple se sorprendió de que Apple no completara HTTPS de forma predeterminada para una aplicación tan sensible”, Mysk. “Apple también necesita estar completamente deshabilitado descargando usuarios para descargar. No incluyo contraseñas, incluso si guardo la contraseña, no incluyo contraseña”.
Hoy en día, los sitios web modernos le permiten las conexiones HTTP no planificadas hoy, pero directamente directamente a otro número utilizando la dirección a 301. Cabe señalar que EOS realiza solo en HTTP antes de 18.2, que se dirige a la versión HTTPS. En condiciones ordinarias, es absolutamente bueno porque el cambio de contraseña está en la página cifrada, asegúrese de que los datos quirúrgicos no se enviarán a un nuevo número.
Sin embargo, como está conectado a la misma red que un usuario agresivo, está conectado como un usuario (es decir, Starbucks, aeropuerto o Wi-Fi del hotel) y mantiene un problema mientras se mantiene la otra solicitud HTTP. Desde aquí podrían controlar el tráfico de varias maneras. Como se ve en los demods de los anteriores myssk, incluye cambiar la solicitud de la sección de tubería similar a la página Live.com de Microsoft. Luego, las víctimas agresivas hacen fácilmente credenciales e incluso realizan otros ataques.
Aunque está en silencio parcheado en diciembre del año pasado, solo Apple transparente En las últimas 24 horas. La aplicación de contraseña utiliza HTTPS en la habitual de todas las conexiones, ¡así que proporcione al menos 18.2 ejecutando dispositivos! No me sorprenderá si estas noticias viajan bajo un largo radar. ¡Compartir para conciencia!
EmergenciaEn la práctica: Twitter / X, LinkedIn, Hilo