Οι κωδικοί πρόσβασης είχαν ένα σοβαρό ελάττωμα ασφαλείας και η Apple το έχει διορθώσει.

  • Ευπάθεια στην εφαρμογή Κωδικοί πρόσβασης: Επιτρέπονται επιθέσεις phishing με χρήση μη κρυπτογραφημένων συνδέσεων HTTP.
  • Mysk Research: Ανακαλύφθηκε ότι οποιοσδήποτε εισβολέας με πρόσβαση στο δίκτυο θα μπορούσε να υποκλέψει ευαίσθητες πληροφορίες.
  • Διόρθωση στο iOS 18.2: Η Apple εφάρμοσε το πρωτόκολλο HTTPS για να αποφύγει τους κινδύνους ασφαλείας.
  • Χρήστες που επηρεάστηκαν για μήνες: Το ελάττωμα παρέμεινε ανεπίλυτο μέχρι την ενημέρωση του Δεκεμβρίου.
Miguel Hernández

4 λεπτά

Κωδικοί πρόσβασης

Εφαρμογή Κωδικοί πρόσβασης, το οποίο παρουσίασε η Apple για να απλοποιήσει τη διαχείριση διαπιστευτηρίων στις συσκευές της, βρέθηκε στο επίκεντρο μιας πρόσφατης διαμάχης μετά την ανακάλυψη μιας σοβαρής ευπάθειας.

Ερευνητές της εταιρείας κυβερνοασφάλειας Mysk ανακάλυψαν ότι το εργαλείο εξέθετε χιλιάδες χρήστες σε πιθανές επιθέσεις phishing λόγω της χρήσης μη κρυπτογραφημένων συνδέσεων HTTP. Για να μάθετε περισσότερα σχετικά με το πώς να αποφύγετε να πέσετε θύματα αυτών των απειλών, μπορείτε να διαβάσετε πώς η Apple μας βοηθά να εντοπίσουμε τα νόμιμα μηνύματα ηλεκτρονικού ταχυδρομείου και να αποτρέψουμε το phishing.

Αυτή η ευπάθεια ασφαλείας φέρεται να υπάρχει εδώ και αρκετούς μήνες, επιτρέποντας στους εισβολείς με πρόσβαση στο δίκτυο να παρακολουθούν και να τροποποιούν αιτήματα επαναφοράς κωδικού πρόσβασης. Αυτό σημαίνει ότι, υπό ορισμένες προϋποθέσεις, ένας χρήστης θα μπορούσε να έχει ανακατευθυνθεί κατά λάθος σε μια ψεύτικη σελίδα που έχει σχεδιαστεί για να κλέψει τα διαπιστευτήριά του.

Πώς λειτούργησε η επίθεση phishing

Σύμφωνα με την ανάλυση των ειδικών της Mysk, το πρόβλημα ήταν ότι η εφαρμογή ζήτησε πληροφορίες για αποθηκευμένες υπηρεσίες χωρίς να διασφαλίσει ασφαλή σύνδεση. Με απλά λόγια, οποιοσδήποτε εισβολέας συνδεδεμένος στο ίδιο δίκτυο Wi-Fi θα μπορούσε να υποκλέψει την κυκλοφορία και να εισαγάγει μια δόλια σελίδα αντί για τον νόμιμο ιστότοπο. Αυτός ο τύπος επίθεσης είναι συνηθισμένος, όπως αναφέρεται στο πλαίσιο των χρηστών iPhone που στοχοποιούνται για μαζικό ψάρεμα.

Αυτή η επίθεση θα μπορούσε εύκολα να είχε πραγματοποιηθεί σε δημόσια δίκτυα, όπως εκείνα σε καφετέριες ή αεροδρόμια, όπου οι εγκληματίες του κυβερνοχώρου συχνά λεηλατούν ανυποψίαστα θύματα. Μόλις ο χρήστης εισήγαγε τα δεδομένα του στην ψεύτικη σελίδα, οι πληροφορίες ήταν στα χέρια του εισβολέα, ο οποίος μπορούσε να τις χρησιμοποιήσει για παράνομη πρόσβαση στους λογαριασμούς του.

Η Apple αντιδρά με μια επιδιόρθωση στο iOS 18.2

Αν και το ζήτημα ήρθε στο φως πρόσφατα, η Apple διόρθωσε την ευπάθεια τον Δεκέμβριο με την ενημέρωση iOS 18.2. Η λύση που εφαρμόστηκε ήταν η υποχρεωτική υιοθέτηση του πρωτοκόλλου HTTPS στις συνδέσεις εφαρμογών, αποτρέποντας τους εισβολείς από το να εκμεταλλευτούν το κενό ασφαλείας. Ωστόσο, είναι σημαντικό να θυμάστε ότι η διαδικτυακή ασφάλεια απαιτεί επίσης καλές πρακτικές, όπως μπορείτε να διαβάσετε στις συμβουλές ασφάλειας για το iPhone σας.

Ωστόσο, το γεγονός ότι αυτή η ευπάθεια υφίσταται για τόσο μεγάλο χρονικό διάστημα και δεν έχει εντοπιστεί, εγείρει ερωτήματα σχετικά με τους ελέγχους ασφαλείας της Apple στις νέες της εφαρμογές. Η εταιρεία δεν ανέφερε δημόσια το ζήτημα μέχρι να το επισημάνουν οι ερευνητές, προκαλώντας ανησυχίες μεταξύ των χρηστών και των ειδικών στον τομέα της κυβερνοασφάλειας.

Οι κίνδυνοι της τυφλής εμπιστοσύνης στους διαχειριστές κωδικών πρόσβασης

Αυτός ο τύπος αποτυχίας θέτει υπό αμφισβήτηση την αξιοπιστία των διαχειριστών κωδικών πρόσβασης που είναι ενσωματωμένοι σε λειτουργικά συστήματα. Ενώ εργαλεία όπως η εφαρμογή κωδικών πρόσβασης της Apple προσφέρουν ευκολία και αυξημένη ασφάλεια με πολλούς τρόπους, καμία λύση δεν είναι εντελώς αλάνθαστη. Η γενική σύσταση παραμένει να υπάρχει έλεγχος ταυτότητας δύο παραγόντων (2FA) σε όλους τους κρίσιμους λογαριασμούς, ο οποίος προσθέτει ένα επιπλέον στρώμα προστασίας σε περίπτωση που τα διαπιστευτήρια τεθούν σε κίνδυνο, ειδικά επειδή είναι απαραίτητο να χρησιμοποιείτε έλεγχο ταυτότητας δύο παραγόντων για την προστασία σημαντικών λογαριασμών όπως το iCloud.

Επιπλέον, είναι σημαντικό οι χρήστες να διατηρούν τις συσκευές τους ενημερωμένες με τις πιο πρόσφατες εκδόσεις του iOS, καθώς πολλές από αυτές τις ευπάθειες διορθώνονται μόνο με ενημερώσεις λογισμικού. Η Apple ενίσχυσε το πρωτόκολλο εφαρμογών της, αλλά όσοι δεν έχουν ενημερώσει το λειτουργικό τους σύστημα ενδέχεται να εξακολουθούν να διατρέχουν τον κίνδυνο του προβλήματος.

Οι διαρροές και οι παραβιάσεις ασφαλείας είναι μια σταθερά στον ψηφιακό κόσμο, γεγονός που υπογραμμίζει το ανάγκη να είστε πάντα σε εγρήγορση για πιθανούς κινδύνους. Αυτό το περιστατικό με την εφαρμογή Passwords της Apple είναι μια υπενθύμιση ότι ακόμη και τα πιο ασφαλή εργαλεία μπορεί να αποτύχουν κάποια στιγμή. Η καλύτερη άμυνα παραμένει ένας συνδυασμός καλών πρακτικών κυβερνοασφάλειας και χρήσης προηγμένων τεχνολογιών προστασίας.

Ασφάλεια iPhone
σχετικό άρθρο:
Η Apple μας βοηθά να αναγνωρίσουμε τα νόμιμα μηνύματα ηλεκτρονικού ταχυδρομείου σας και να αποτρέψουμε το ηλεκτρονικό "ψάρεμα"

Ακολουθήστε μας στις Ειδήσεις Google

Αφήστε το σχόλιό σας

Η διεύθυνση email σας δεν θα δημοσιευθεί. Τα υποχρεωτικά πεδία σημειώνονται με *

*

*

  1. Υπεύθυνος για τα δεδομένα: AB Internet Networks 2008 SL
  2. Σκοπός των δεδομένων: Έλεγχος SPAM, διαχείριση σχολίων.
  3. Νομιμοποίηση: Η συγκατάθεσή σας
  4. Κοινοποίηση των δεδομένων: Τα δεδομένα δεν θα κοινοποιούνται σε τρίτους, εκτός από νομική υποχρέωση.
  5. Αποθήκευση δεδομένων: Βάση δεδομένων που φιλοξενείται από τα δίκτυα Occentus (ΕΕ)
  6. Δικαιώματα: Ανά πάσα στιγμή μπορείτε να περιορίσετε, να ανακτήσετε και να διαγράψετε τις πληροφορίες σας.