L'application Mots de passe récemment lancée par Apple a été vulnérable aux attaques de phishing pendant près de trois mois avant que la société ne corrige discrètement le problème dans une mise à jour logicielle. Les chercheurs en sécurité de Mysk ont découvert que l'application, introduite avec iOS 18, effectuait des requêtes HTTP non cryptées pour récupérer les icônes de sites Web liées aux informations d'identification stockées. Cette faille créait un vecteur d'attaque potentiel, permettant aux pirates informatiques présents sur le même réseau Wi-Fi d'intercepter et de manipuler ces requêtes, dirigeant ainsi les utilisateurs vers des sites malveillants.
Cette vulnérabilité aurait pu permettre aux attaquants de remplacer les icônes de sites Web légitimes par de fausses, incitant ainsi les utilisateurs à saisir leurs informations d'identification sur des sites de phishing. Alors qu'Apple a désormais résolu le problème dans iOS 18.2 en appliquant HTTPS pour toutes les connexions, la découverte soulève des inquiétudes quant à la surveillance initiale d'une application axée sur la sécurité.
Les mots de passe, la réponse d'Apple aux gestionnaires de mots de passe dédiés comme 1Password et Bitwarden, ont été introduits dans le cadre de sa démarche plus large en faveur de solutions de sécurité intégrées. L'application synchronise les informations d'identification sur tous les appareils via le trousseau iCloud et offre des fonctionnalités de remplissage automatique pour des connexions faciles. Cependant, cette faille de sécurité pourrait ébranler la confiance dans l’engagement d’Apple en faveur d’une confidentialité irréprochable.
Plus de lecture :Apple va corriger une faille Screen Time, mais la confiance reste fragile pour les parents
Les experts en sécurité recommandent aux utilisateurs de s'assurer que leurs appareils sont mis à jour vers iOS 18.2 ou une version ultérieure pour atténuer tout risque potentiel. De plus, ils conseillent d’utiliser l’authentification à deux facteurs (2FA) dans la mesure du possible pour ajouter une couche de protection supplémentaire.
Alors qu’Apple se positionne de plus en plus comme une entreprise axée sur la confidentialité, cet incident met en évidence les défis liés au maintien de la sécurité dans son écosystème de services en pleine expansion. Le correctif souligne l'importance des audits de sécurité continus, en particulier pour les applications traitant des données utilisateur sensibles.
Source9à5Mac