Sementara Apple telah menawarkan solusi administrasi kata sandi selama bertahun -tahun, hanya musim gugur yang lalu perusahaan Akhirnya meluncurkan aplikasi kata sandi khusus“Kata sandi” yang ditunjuk dengan benar. Ini agak mendasar, tetapi diintegrasikan ke dalam sistem operasi dan melakukan pekerjaan. (Ini juga gratis, apa yang membantu). Jika Anda benar -benar berada di ekosistem Apple, ini adalah cara mudah untuk membuat, menyimpan, dan mengakses kata sandi dari banyak akun Anda. Namun, seperti halnya, kata sandi memiliki cacat keamanan kritis yang ditangani Apple baru -baru ini.
Inilah situasinya: Kata sandi memiliki fungsi keamanan yang membantu mengubah kata sandi akun secara langsung dalam aplikasi kata sandi. Ini sangat berguna jika aplikasi mendeteksi bahwa salah satu kata sandi akunnya telah dikompromikan. Anda dapat menyentuh akun, memilih “Ubah Kata Sandi …” dan membuka browser di aplikasi yang akan mengarahkannya ke situs web akun, di mana Anda dapat mengubah kata sandi Anda.
Untuk karakteristik ini, ini mengandung risiko keselamatan yang signifikan. Seperti yang ditemukan oleh peneliti keamanan dengan MySK, setiap kali ia mengambil keuntungan dari “Mengubah Kata Sandi …” dalam sebuah akun, kata sandi akan terhubung ke situs menggunakan protokol HTTP yang tidak terjalin, sebelum mengarahkan protokol HTTPS yang dienkripsi. Enkripsi ini Lindungi koneksi Anda antara perangkat Anda dan situs web yang Anda kunjungi. Tanpa itu, seorang aktor dengan akses istimewa ke jaringan dapat bertanggung jawab atas koneksi dan mengarahkan kembali tautan.
Katakanlah aplikasi kata sandi memperingatkan Anda bahwa kata sandi Yelp Anda telah dikompromikan dan harus mengubahnya. Tidak ada masalah: Ini menyentuh akun Yelp Anda di aplikasi, lalu pilih “Ubah Kata Sandi …” Namun, seorang aktor yang buruk mengikuti aktivitasnya dan sebelum situs web Royal Yelp dapat dikenakan biaya, mereka mengarahkannya ke situs Yelp yang salah. Di sini, halaman penipuan mendorong Anda untuk membagikan informasi rahasia Anda, dan karena Anda pikir Anda mengunjungi situs Yelp Real, mungkin. Jadi, Anda telah phishing.
Seperti yang dikatakan Mysk 9to5mac“Kami terkejut bahwa Apple tidak menegakkan HTTP secara default untuk aplikasi sensitif seperti itu … Selain itu, Apple harus memberikan opsi sehingga pengguna yang mengetahui keamanan menonaktifkan ikon unduhan sepenuhnya. Saya tidak merasa nyaman dengan administrator kata sandi saya yang terus -menerus membuat ping ke setiap situs web yang saya pertahankan kata sandi, meskipun fakta bahwa panggilan panggilan tidak ada identifikasi.
Namun, masalah ini tidak terkandung dalam aplikasi kata sandi. Menurut Mysk, cacat ini telah ada sejak Apple meluncurkan kemampuan untuk mendeteksi kata sandi yang berkomitmen untuk iOS 14, hingga 2020:
Tweet ini saat ini tidak tersedia. Mungkin dimuat atau telah dieliminasi.
Cara memperbaiki cacat keamanan ‘kata sandi’ ini
Apple diam -diam mengatasi masalah ini Dengan peluncuran iOS 18.2. Pembaruan itu diluncurkan pada bulan Desember 2024, jadi perubahannya bagus, telah memperbarui iPhone -nya sejak saat itu.
Namun, jika Anda belum selesai, Anda harus memperbarui versi iOS terbaru sesegera mungkin. (Dari artikel ini, Itu adalah iOS 18.3.2Itu bertepatan dengan tambalan keamanan penting lainnya.) Untuk memperbarui sekarang, kunjungi Konfigurasi> Umum> Pembaruan Perangkat LunakKemudian ikuti instruksi layar untuk mengunduh dan menginstal pembaruan.
