周二有消息称，苹果密码应用程序中的一个严重的HTTP错误导致用户在去年推出后的三个月内容易受到网络钓鱼攻击。

去年12月11日推出的iOS 18.2软件更新中包含了该漏洞的修复程序。但消息人士表示，自9月16日iOS 18.0（以及Passwords应用程序本身）推出以来，该漏洞就一直存在，尚未修补。

Mysk的“偶尔安全研究人员”发现了这个问题，因为他们注意到Passwords正在通过未加密的HTTP流量获取徽标和图标，并且在打开密码重置页面时默认为HTTP。

“这使得用户很容易受到攻击，”该公司告诉9to5 Mac，该公司更详细地解释了这个问题，我将在这里尝试。“拥有特权网络访问权限的攻击者可以拦截该HTTP请求并将用户重定向到钓鱼网站。我们感到惊讶的是，苹果没有默认对如此敏感的应用程序强制执行HTTPS……[而且]苹果应该为有安全意识的用户提供一个完全禁用下载图标的选项。”

迈斯克的话得到了重视，苹果通过让Passwords默认使用HTTPS来修复了该漏洞。这一更改于12月在iOS 18.2中悄然做出，但直到3月17日才宣布：“通过网络发送信息时使用HTTPS解决了这个问题，”苹果现在在其iOS 18.2安全内容页面中解释道，并归功于Talal Haj Bakry和Mysk Inc.的Tommy Mysk。为了这个发现。

低调的安全补丁是我们建议您及时更新Apple设备的原因之一。要在iPhone上更新iOS，请打开“设置”应用程序，转至“常规”>“软件更新”，然后按照收件箱说明操作。

推荐给您热门的新款天蓝色M4 MacBook Air跌至迄今为止的最佳价格MacworldUndoTim Cook本周推出了另一个惊喜MacworldUndo购买定制衬衫刚刚变得简单Proper棉布|赞助赞助撤销