iPhone密碼App唔安全？安全漏洞曝光重要密碼　必須更新iOS 18.2

Apple 在 iOS 18 推出後，將原本在iCloud的功能獨立成一款專門的「密碼 (Passwords)」App，讓用戶能更方便地管理帳號密碼。然而，近日安全研究團隊 Mysk 發現，這款密碼管理 App 竟然存在一項嚴重的安全漏洞，使用戶在近三個月內可能遭受釣魚攻擊，直到 iOS 18.2 更新才正式修復這一問題。

研究人員注意到，當 iPhone 用戶開啟「應用程式隱私報告」時，會發現 Passwords App 曾與超過 130 個網站進行不安全的 HTTP 連線，這引起了團隊的警覺。在進一步分析後，他們發現密碼App在加載帳號圖示與網站標誌時，竟然是透過不加密的 HTTP 協議進行傳輸，更讓人震驚的是，當用戶點擊「重設密碼」時，也會預設使用 HTTP 開啟密碼重設頁面，而非更安全的 HTTPS。這意味著，如果攻擊者能夠存取用戶的網絡環境，例如透過公共 Wi-Fi（如咖啡店、機場或飯店），便可攔截這些 HTTP 請求，並將用戶重新導向至精心設計的釣魚網站，進一步竊取密碼與其他敏感資料。

Mysk 團隊展示了一個典型的攻擊場景，當用戶在密碼app中點擊重設密碼鏈接時，攻擊者可以攔截 HTTP 請求，並將受害者導向一個偽裝成 Microsoft Live 登入頁面的釣魚網站，誘騙受害者輸入憑證。攻擊者一旦獲取這些憑證，不僅能夠存取受害者的帳戶，甚至可能發動更多層級的攻擊，例如盜取其他憑證、發送惡意軟體或進一步監控受害者的活動。

透過 iOS 18.2 更新，密碼App現在已全面強制使用 HTTPS 連線，確保所有帳號圖示下載與密碼重設頁面都經過加密傳輸，以防止攻擊者攔截數據或進行釣魚攻擊。儘管漏洞已經修復，為了確保不受影響，用戶應立即確認 iPhone 是否已更新至 iOS 18.2 或更新版本。此外，以下幾點可進一步強化密碼管理的安全性：

1）保持系統更新：定期檢查並更新 iOS 版本，以確保擁有最新的安全補丁，防範類似漏洞的攻擊。

2）避免使用公共 Wi-Fi 進行敏感操作：公共 Wi-Fi 環境容易受到中間人攻擊，應盡量避免在這類網絡上輸入密碼或執行帳戶安全相關操作。

3）啟用 VPN 來加密流量：使用虛擬私人網絡（VPN）可以加密網絡流量，即使在不安全的網絡環境中，也能有效防止流量被攔截。

4）使用強密碼與雙重驗證：即使憑證被洩露，啟用雙重驗證可大幅降低帳戶被盜的風險。

5）定期檢查帳戶活動：若發現任何可疑登入紀錄，應立即變更密碼，並檢查是否有未經授權的帳戶存取。