自 iOS 18 起,蘋果於系統預載了「密碼」程式,可讓用家一站式儲存、管理不同網上服務、應用程式所需的登入資料,並且可以在需要使用時一鍵自動輸入,簡單方便。不過,這程式近日被揭發原來起初就存在安全漏洞,而且蘋果一直沒有對外公布,直至 iOS 18.2 才暗中修復好……
iOS「密碼」程式曾可能主動向釣魚網站洩密
「密碼」程式本身需要通過安全驗證才可以檢視當中的內容,我們或認為它是十分安全的程式。不過事實上,最初它不是我們想像中那麼安全,而問題出於它既有的自動填寫功能。
有網絡安全專家發現,初期的「密碼」程式不會理會究竟用家準備登入的網站是正常還是具有風險的網站,會錯誤地將偽造、網絡釣魚網站視為一般、正常的網站,當用家錯誤地提供了一次資料,下次再登入時「密碼」程式就會「理所當然」地協助用家自動填入登入資料,形同主動向那些網站洩密,讓用家一再暴露於風險下。
幸得網絡安全專家通報並及時修補漏洞
不幸的是,蘋果從來沒有公開向一眾用家提及「密碼」程式有此安全漏洞,只是幸好有網絡安全專家很快已發現問題,並向蘋果匯報,所以令蘋果在推出 iOS 18.2 時已修補漏洞。直到現在,「密碼」程式已經加強有關域名驗證的程序,確保其自動輸入登入帳戶資料功能只會在真實、非網絡釣魚網站才會被觸發。不過對一眾用家來說,在蘋果未修復漏洞前,可能已因「密碼」程式的漏洞而曝露於風險之下。
平日亦應有基本網絡安全意識
固然現時「密碼」程式已經修復問題是好事,但這事同時提醒我們,即使 iOS 內置的程式本身是可靠的,我們日常使用時還是要加倍小心,特別是涉及點擊連結前往外部網站。若對將要被導向的網站或連結本身已有懷疑,就不應輕易點擊連結前往,以免蒙受損失。
來源︰9to5Mac