Vào tháng 9 năm 2024, Apple phát hành iOS 18 với ứng dụng Passwords mới. Tuy nhiên, ứng dụng này lại sử dụng giao thức HTTP kém an toàn hơn thay vì HTTPS khi mở các liên kết hoặc tải biểu tượng. Điều này có nghĩa là một kẻ tấn công trên mạng có thể chặn các yêu cầu HTTP và chuyển hướng người dùng đến một trang web giả mạo để thu thập thông tin đăng nhập.Công ty nghiên cứu bảo mật Mysk đã phát hiện ra vấn đề này và báo cáo cho Apple vào tháng 9. Ứng dụng Passwords đã được vá lỗi vào tháng 12 với iOS 18.2. Điều này có nghĩa là lỗ hổng đã tồn tại trong ba tháng và tiếp tục ảnh hưởng đến bất kỳ ai sử dụng phiên bản trước iOS 18.2.Apple đã không tiết lộ lỗ hổng hoặc bản vá cho đến ngày 17 tháng 3 năm 2025, thông tin này được phát hiện bởi 9to5Mac. Có lẽ Apple muốn bảo vệ những người dùng chưa cập nhật và giữ kín vấn đề cho đến khi đạt đến một ngưỡng nhất định.Nếu ai đó vẫn đang sử dụng phiên bản trước iOS 18.2, họ nên cập nhật càng sớm càng tốt. Tuy nhiên, khả năng ai đó bị nhắm mục tiêu bởi lỗ hổng này là rất thấp do tính đặc thù của phương thức tấn công.Để lộ mật khẩu của bạn thông qua ứng dụng Apple Passwords, người dùng cần phải:Ở trên mạng Wi-Fi nơi kẻ xấu cũng có thể truy cập, chẳng hạn như quán cà phê hoặc sân bay.Kẻ xấu cần biết về lỗ hổng và chủ động cố gắng khai thác nó.Người dùng cần mở Apple Passwords, mở một mật khẩu, sau đó nhấn vào một liên kết trong ứng dụng để chuyển hướng đến trang đăng nhập từ ứng dụng Passwords.Kẻ xấu cần phải tìm kiếm điều này và chặn lưu lượng truy cập, thay thế bằng một trang đăng nhập giả mạo cho trang web bạn đang cố gắng truy cập.Ứng dụng Passwords không dễ bị tấn công khi được sử dụng để đăng nhập vào các ứng dụng hoặc trang web bằng chức năng tự động điền. Nó chỉ xảy ra khi khởi chạy trang đăng nhập từ ứng dụng.Việc sử dụng chung ứng dụng Passwords bên ngoài mạng bị xâm nhập bởi kẻ xấu là vô hại, vì các yêu cầu HTTP sẽ tự động được chuyển hướng 301 sang HTTPS. Có rất ít khả năng lỗ hổng bị khai thác trong thực tế.Nếu bạn lo lắng về lỗ hổng này, có một vài bước bạn có thể thực hiện ngay hôm nay. Rõ ràng nhất là cập nhật tất cả các hệ điều hành thiết bị của bạn lên phiên bản mới nhất.Hãy nhớ lại cách bạn sử dụng ứng dụng Passwords. Nếu bạn chưa bao giờ thay đổi mật khẩu hoặc cố gắng đăng nhập bằng liên kết từ ứng dụng Passwords, hoặc thậm chí không nhận ra rằng điều đó là có thể, thì bạn không cần lo lắng.Nếu bạn vẫn lo lắng, việc thay đổi mật khẩu cho một số tài khoản nhạy cảm hơn của bạn không bao giờ là một ý tưởng tồi. Hãy cập nhật mật khẩu cho ngân hàng, email, công việc và các tài khoản quan trọng khác của bạn. Việc này sẽ giúp bạn an tâm hơn và bảo vệ thông tin cá nhân của mình.
