Appleのパスワード管理アプリにHTTP脆弱性、3ヶ月間放置されていたことが判明

Appleのパスワード管理アプリ「Passwords」に、HTTP通信に関する重大な脆弱性が存在し、昨年9月のリリースから12月の修正までの約3ヶ月間、放置されていたことが明らかになった。

この脆弱性により、攻撃者がネットワークアクセスを悪用して、ユーザーをフィッシングサイトに誘導する可能性があった。

セキュリティ研究者グループMyskが発見したもので、「Passwords」がロゴやアイコンを暗号化されていないHTTP通信で取得していたこと、またパスワードリセットページを開く際にHTTPをデフォルトで使用していたことが原因。Myskは、セキュリティ意識の高いユーザー向けにアイコンのダウンロードを完全に無効化するオプションを提供するべきだと指摘している。

Appleは昨年12月11日にリリースされたiOS 18.2で、この脆弱性を修正。HTTPSをデフォルトで使用するように変更した。この修正は3月17日に公式に発表され、セキュリティコンテンツページでMyskへの謝辞が述べられている。

Appleは、セキュリティパッチの重要性を強調し、iOSデバイスのタイムリーなアップデートを推奨している。アップデートは、設定アプリの「一般」>「ソフトウェアアップデート」から実行可能。