Apple、「パスワード」アプリの脆弱性を修正 iOS 18.2アップデートで対応

Appleは、iOS 18のリリースから3ヶ月間放置されていた「パスワード」アプリの脆弱性を、12月のiOS 18.2アップデートで修正した。この脆弱性により、ユーザーはフィッシング詐欺の被害に遭う可能性があった。

9to5Macが報じたAppleのセキュリティアップデートによると、「パスワード」アプリは、保存されたパスワードに関連付けられたロゴやアイコンのリクエストを暗号化せずに送信していた。

暗号化されていない通信は、同一Wi-Fiネットワーク上の攻撃者がユーザーのブラウザを偽のフィッシングサイトにリダイレクトさせ、ログイン情報を盗み取ることを可能にする。この脆弱性は、開発者Myskのセキュリティ研究者によって9月に発見され、報告されていた。

AppleのiOS 18.2のセキュリティリリースノートでは、このバグについて次のように説明されている。

影響: 特権的なネットワーク位置にいるユーザーは、機密情報を漏洩される可能性があります。

説明: この問題は、ネットワーク経由で情報を送信する際にHTTPSを使用することで対処されました。

Appleは、このバグをMac、iPad、Vision Proのセキュリティコンテンツアップデートにも記載しており、この問題が複数のOSで修正されたことを示している。

（MacRumors.comの記事を基に作成）