图灵汇官网

苹果最新推出的独立密码管理应用“Passwords”在正式上线后，曾因安全机制缺陷引发关注。据安全团队 Mysk 最近披露的信息显示，该应用在 iOS 18.2 版本更新前，存在使用非加密的 HTTP 协议进行通信的问题，这为潜在的安全风险埋下隐患。

这款应用自 2024 年 9 月随 iOS 18 上线以来，一直被用户视为提升账户管理效率的重要工具。然而，在其发布后的三个月内，部分功能设计上仍存在漏洞。具体来说，Passwords 应用在与多个网站交互时，采用了不安全的 HTTP 协议，而非更安全的 HTTPS。这意味着，当用户连接至公共 Wi-Fi 网络时，攻击者有可能拦截数据传输，从而获取敏感信息。

研究团队指出，该应用曾向超过 130 个网站发送请求，包括下载账户图标以及自动跳转至密码重置页面。由于未强制使用加密协议，这些通信过程缺乏有效保护。一旦用户在不安全的网络环境下使用此功能，就可能遭遇中间人攻击，导致个人信息泄露。

更令人担忧的是，攻击者可以利用这一漏洞，将用户引导至伪造的登录页面。例如，伪装成微软的 live.com 网站，诱骗用户输入密码。一旦用户提交信息，攻击者便可直接获取凭证，并进一步实施其他恶意行为。

苹果公司在 2024 年 12 月发布的 iOS 18.2 更新中，已针对这一问题进行了修复。新版默认采用 HTTPS 加密协议，确保所有通信过程得到保护。同时，系统不再允许应用以非加密方式发送数据，有效降低了安全风险。

对于普通用户而言，及时更新操作系统是防范此类问题的关键措施。尤其在使用公共网络时，应尽量避免访问高风险应用或执行敏感操作。此外，保持对设备和软件的定期检查，也是维护数字安全的重要习惯。