V nejnovější aktualizaci iOS 18 se Apple rozhodl převést svůj správcovský nástroj pro hesla Keychain do samostatné aplikace s názvem Hesla, což mělo uživatelům usnadnit správu jejich přihlašovacích údajů. Avšak nedávno se objevilo alarmující odhalení, že tato aplikace obsahovala vážnou bezpečnostní chybu, která uživatele vystavila riziku phishingových útoků po dobu tří měsíců, a to od okamžiku jejího uvedení na trh až do opravy v iOS 18.2.

Zprávu o této chybě přinesli odborníci z výzkumné společnosti Mysk, kteří si v rámci App Privacy Report všimli, že jejich iPhone komunikoval prostřednictvím nezabezpečeného protokolu HTTP s více než 130 webovými stránkami. Dále analýzy ukázaly, že aplikace nejen stahovala loga a ikony účetních profilů bez šifrování, ale také otevírala stránky pro reset hesel opět přes nezašifrované připojení. To znamenalo, že útočníci na stejné síti měli možnost přesměrovat uživatele na podvodné stránky, čímž mohli získat jejich citlivé přihlašovací údaje.

Odborníci byli šokováni, že Apple neimplementoval HTTPS jako výchozí možnost pro tuto vysoce citlivou aplikaci. Bylo zdůrazněno, že by uživatelé měli mít možnost vypnout stahování ikon z webových stránek, neboť většina moderních stránek automaticky přesměrovává HTTP požadavky na HTTPS. Avšak to, co útočníci mohli udělat, je, že přesměrování mezi HTTP a HTTPS zachytili a podvrhli falešné stránky.

Zajímavé je, že Apple tuto chybu tiše opravil v prosinci, ale veřejnost o ní byla informována až nyní, což vyvolává otázky, jaká další bezpečnostní rizika mohou být v jejich aplikacích skryté. V současné době aplikace Hesla používá výhradně HTTPS, takže uživatelé by měli mít nainstalovanou minimálně verzi iOS 18.2, aby byli chráněni před potenciálními hrozbami. Je to varování pro všechny uživatele Apple zařízení, aby si byli vědomi možných nedostatků v ochraně jejich osobních údajů!