iOS 18 密码应用漏洞：您需要了解的一切

iOS 18 密码应用漏洞：您需要了解的一切苹果于2024年9月发布的iOS 18系统中，引入了备受期待的全新密码应用Passwords。然而，这个旨在增强用户密码安全性的应用，却在初期存在一个严重的漏洞，可能将用户的密码暴露给特权网络上的恶意行为者

iOS 18 密码应用漏洞：您需要了解的一切

苹果于2024年9月发布的iOS 18系统中，引入了备受期待的全新密码应用Passwords。然而，这个旨在增强用户密码安全性的应用，却在初期存在一个严重的漏洞，可能将用户的密码暴露给特权网络上的恶意行为者。这一漏洞直到2025年3月才得到完全修复，期间存在长达数月的安全风险。

漏洞的根源：HTTP而非HTTPS

Passwords应用的早期版本（iOS 18及iOS 18.2）在处理链接和图标时，依赖于安全性较低的HTTP协议，而非更安全的HTTPS协议。这意味着在特权网络（例如，受恶意软件感染的公共Wi-Fi）中，攻击者可以拦截HTTP请求，将用户重定向到一个伪造的登录页面，从而窃取用户的登录凭据。

安全研究公司Mysk发现了这一问题，并在2024年9月向苹果公司报告。苹果公司在2024年12月发布的iOS 18.2系统更新中修复了该漏洞。然而，这三个月里，该漏洞一直存在于野外，对使用iOS 18.2之前版本的用户构成了持续的威胁。

苹果公司直到2025年3月17日才完全消除该漏洞的风险，这可能与其策略有关：在达到一定阈值、评估风险影响后，才对外公开并进行全面修复，以保护仍在使用旧版本系统的用户。

漏洞被利用的条件：严苛且罕见

尽管该漏洞的潜在影响十分严重，但实际上被利用的可能性非常低。要成功利用此漏洞，攻击者必须同时满足一系列严苛的条件：

1. 用户处于受控网络环境中： 用户必须连接到一个被恶意行为者控制的Wi-Fi网络，例如某些被入侵的公共Wi-Fi热点（咖啡店、机场等）。

2. 攻击者知晓并积极利用漏洞： 攻击者必须意识到该漏洞的存在，并积极尝试利用它进行攻击。这需要攻击者具备一定的技术能力和恶意意图。

3. 用户必须通过Passwords应用进行特定操作： 用户必须打开Passwords应用，选择一个密码，然后点击应用内的链接，该链接会重定向到密码应用的登录页面。

4. 攻击者拦截并替换登录页面： 攻击者必须能够拦截该HTTP请求，并将其重定向到一个伪造的登录页面，该页面模仿用户试图访问的网站。

需要注意的是，在使用自动填充功能登录应用或网站时，Passwords应用不会受到此漏洞的影响。 该漏洞仅在用户从Passwords应用启动登录页面时才会出现。此外，由于HTTP请求会自动301重定向到HTTPS，因此在未被恶意行为者渗透的网络中使用Passwords应用不会造成任何危害。

漏洞的实际风险评估：极低

综合以上条件，可以看出，成功利用此漏洞的概率极低。大多数用户不太可能同时满足所有这些条件。 这需要攻击者具备非常特殊的能力和机会。

建议：采取预防措施，确保安全

尽管该漏洞被利用的可能性很小，为了最大限度地降低风险，仍然建议用户采取以下措施：

1. 更新操作系统： 将所有设备的操作系统更新到最新版本（iOS 18.2及更高版本），这是最有效且直接的预防措施。

2. 回顾Passwords应用的使用情况： 回想一下您对Passwords应用的使用情况。如果您从未通过Passwords应用中的链接登录，或者从未意识到这种登录方式的存在，那么您几乎没有受到此次漏洞的影响。

3. 更改重要账户密码： 如果您对安全性仍有顾虑，建议更改银行、电子邮件、工作和其他重要账户的密码。 这是一种预防措施，可以进一步增强您的账户安全性，即使您没有直接受到此次漏洞的影响。