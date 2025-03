V iOS 18 Apple převedl správce hesel Keychain do samostatné aplikace Hesla, aby uživatelům usnadnil správu přihlašovacích údajů. Nyní však bezpečnostní experti odhalili, že vážná chyba v této aplikaci ponechala uživatele zranitelné vůči phishingovým útokům téměř tři měsíce. A to od prvního vydání iOS 18 až do opravy v iOS 18.2. Chybu odhalili výzkumníci z Mysk poté, co si všimli, že jejich iPhone v rámci App Privacy Report kontaktoval přes 130 webových stránek přes nezabezpečený protokol HTTP. Další analýza ukázala, že aplikace nejen stahovala loga a ikony účtů přes nezabezpečené připojení, ale také otevírala stránky pro reset hesel pomocí HTTP. To umožňovalo útočníkům na stejné síti přesměrovat uživatele na podvodné stránky a získat jejich přihlašovací údaje.

Odborníci byli překvapeni, že Apple nepoužil HTTPS jako výchozí možnost pro tak citlivou aplikaci. Zdůraznili také, že by uživatelé měli mít možnost vypnout stahování ikon z webů. Přestože většina moderních stránek automaticky přesměrovává HTTP požadavky na HTTPS, pokud se útočník připojí ke stejné síti jako oběť, může přesměrování zachytit a podvrhnout falešnou stránku. Apple chybu tiše opravil v prosinci, ale veřejnost o ní informoval až nyní. V současnosti už Hesla používá výhradně HTTPS, takže uživatelé by měli mít nainstalovanou minimálně verzi iOS 18.2.