iPhone密碼APP爆資安漏洞，未升級iOS 18.2恐遭釣魚攻擊

蘋果在 iOS 18 推出時，將原本藏在系統內建「設定」中的密碼鑰匙圈管理工具，獨立成 「密碼」APP（Passwords App） ，方便 iPhone 用戶能夠管理帳密和各種憑證。近日卻有資安團隊揭露一個嚴重的 HTTP 漏洞，容易導致 iOS 18.0 至 18.1.1 的「密碼」APP 暴露於釣魚攻擊風險，該問題直到 iOS 18.2 才正式被修復。

iPhone密碼App透過HTTP加載網站資訊引發安全漏洞

資安研究團隊 Mysk 發現，他們透過 APP 隱私報告挖掘，意外發現 iPhone「密碼」App 會透過不安全的 HTTP 連線存取多達 130 個網站，在經過網路偵錯工具深入調查後，安全團隊發現主要出自於「密碼」APP 會自動透過 HTTP 抓取帳號圖示與網站標誌，更嚴重的是，密碼應用程式重設頁面竟會預設使用 HTTP，而非安全的 HTTPS 協議。

Mysk 研究員認為，蘋果在處理高度敏感的應用程式竟然沒強制使用 HTTPS，畢竟『密碼』APP會頻繁向用戶儲存的網站發送 HTTP 請求，雖然這些請求不包含個人識別資訊，但能讓攻擊者能利用攔截，並將用戶重定向至偽造的釣魚網站，趁機竊取記錄在密碼APP內的帳號密碼。

雖然大多數網站會將 HTTP 連線自動轉址至 HTTPS，只要攻擊者與受害者使用相同的公眾 Wi-Fi 網路，如星巴克、機場或飯店 Wi-Fi 區網下就能攔截初始 HTTP 請求，然後進行流量監控，或是將受害者導向看似官方的釣魚網站和偽造密碼重設頁面，收集受害者的登入憑證，甚至能進一步發動攻擊。

Mysk 安全團隊也示範，如何利用iPhone密碼APP漏洞進行網路釣魚攻擊，過程如下影片：

蘋果 iOS 18.2 已修補密碼APP漏洞，盡快確保iPhone更新

據了解蘋果已經在2024年12月推出 iOS 18.2 修補「密碼」APP漏洞，已全面改用 HTTPS 進行所有連線，確保用戶資訊安全。該問題直到近期才被揭露，也要求所有已經更新到 iOS 18 用戶，進快升級到 iOS 18.2 或更新版本，才能避免遭受釣魚攻擊。

• iOS 18.2正式版更新整理！45項新功能重點細節全面看

延伸閱讀：

• 免捷徑！透過iPhone密碼產生Wi-Fi QR Code條碼技巧
• iOS 18密碼App教學｜11招搞懂全新iPhone帳號密碼管理操作方式
• Google密碼金鑰怎麼用？升級Google帳號安全設定到應用全攻略
• iPhone共享密碼如何設定？與家人好友iOS 17密碼共享教學