图灵汇官网

苹果最新推出的独立密码管理应用“Passwords”在发布初期曾暴露安全风险，引发广泛关注。该漏洞持续了约三个月时间，直到 iOS 18.2 版本更新后才得以修复。

据安全团队 Mysk 研究发现，Passwords 应用在运行过程中使用的是不安全的 HTTP 协议与部分网站进行通信。这种做法让攻击者有机会在用户连接公共 Wi-Fi 时，截取应用发送的请求数据。黑客可以借此伪造登录页面，诱导用户输入敏感信息。

具体来说，当用户尝试重置密码或查看账户图标时，应用会向相关网站发起连接。如果这些连接未加密，攻击者就能拦截并篡改通信内容。例如，用户可能被引导至一个伪装成微软官网的钓鱼页面，输入密码后，信息将直接落入恶意人员手中。

这一问题在 iOS 18 发布后的三个月内始终存在。苹果在最初版本中并未强制要求使用 HTTPS 加密协议，也未提供关闭图标下载的功能，使得应用频繁向第三方网站发送请求，进一步增加了风险。

2024 年 12 月发布的 iOS 18.2 更新中，苹果对 Passwords 应用进行了改进，全面启用 HTTPS 协议，有效防止了未加密的通信行为。这一调整显著提升了用户的隐私保护水平。

对于普通用户而言，及时升级系统是防范此类漏洞的关键。同时，避免在不可信网络环境下使用密码管理工具，也能降低遭遇攻击的可能性。