Aplikim passwords, të cilën Apple e prezantoi për të thjeshtuar menaxhimin e kredencialeve në pajisjet e saj, ka qenë në qendër të një polemike të kohëve të fundit pasi u zbulua një cenueshmëri serioze.
Studiuesit në firmën e sigurisë kibernetike Mysk zbuluan se mjeti ekspozoi mijëra përdorues ndaj sulmeve të mundshme të phishing për shkak të përdorimit të lidhjeve të pakriptuara HTTP. Për të mësuar më shumë se si të mos bini viktimë e këtyre kërcënimeve, mund të lexoni se si Apple na ndihmon të identifikojmë emailet e ligjshme dhe të parandalojmë phishing.
Kjo dobësi e sigurisë thuhet se ka ekzistuar prej disa muajsh, duke lejuar sulmuesit me akses në rrjet të përgjojnë dhe modifikojnë kërkesat për rivendosjen e fjalëkalimit. Kjo do të thotë që, në kushte të caktuara, një përdorues mund të ishte ridrejtuar pa dashje në një faqe të rreme të krijuar për të vjedhur kredencialet e tyre.
Si funksionoi sulmi i phishing
Sipas analizës së ekspertëve të Mysk, problemi ishte se aplikacioni kërkoi informacion në lidhje me shërbimet e ruajtura pa siguruar një lidhje të sigurt. Me fjalë të thjeshta, çdo sulmues i lidhur me të njëjtin rrjet Wi-Fi mund të përgjojë trafikun dhe të fusë një faqe mashtruese në vend të sajtit legjitim. Ky lloj sulmi është i zakonshëm, siç përmendet në kontekstin e përdoruesve të iPhone që synohen për phishing masiv.
Ky sulm mund të ishte kryer lehtësisht në rrjetet publike, si ato në kafene apo aeroporte, ku kriminelët kibernetikë shpesh prenë viktimat që nuk dyshojnë. Pasi përdoruesi futi të dhënat e tij në faqen e rreme, informacioni ishte në duart e sulmuesit, i cili mund ta përdorte atë për të hyrë ilegalisht në llogaritë e tyre.
Apple reagon me një rregullim në iOS 18.2
Edhe pse çështja doli në dritë kohët e fundit, Apple e rregulloi cenueshmërinë në dhjetor me përditësimin iOS 18.2. Zgjidhja e zbatuar ishte miratimi i detyrueshëm i protokollit HTTPS në lidhjet e aplikacioneve, duke parandaluar sulmuesit të shfrytëzojnë vrimën e sigurisë. Megjithatë, është e rëndësishme të mbani mend se siguria në internet kërkon gjithashtu praktika të mira, siç mund të lexoni në këshillat tona të sigurisë për iPhone tuaj.
Megjithatë, fakti që kjo dobësi ka ekzistuar për kaq shumë kohë e pazbuluar ngre pyetje në lidhje me kontrollet e sigurisë së Apple në aplikacionet e saj të reja. Kompania nuk e raportoi publikisht këtë çështje derisa studiuesit e vunë në dukje atë, duke ngritur shqetësime midis përdoruesve dhe ekspertëve të sigurisë kibernetike.
Rreziqet e besimit verbërisht të menaxherëve të fjalëkalimeve
Ky lloj dështimi vë në pikëpyetje seriozitet të menaxherëve të fjalëkalimeve të integruar në sistemet operative. Ndërsa mjetet si aplikacioni i fjalëkalimeve të Apple ofrojnë komoditet dhe siguri të shtuar në shumë mënyra, asnjë zgjidhje nuk është plotësisht e pagabueshme. Rekomandimi i përgjithshëm mbetet që të ketë vërtetim me dy faktorë (2FA) në të gjitha llogaritë kritike, gjë që shton një një shtresë shtesë mbrojtëse në rast se kredencialet komprometohen, veçanërisht pasi është thelbësore të përdoret vërtetimi me dy faktorë për të mbrojtur llogaritë kritike si iCloud.
Përveç kësaj, është thelbësore që përdoruesit të mbajnë pajisjet e tyre të përditësuara me versionet më të fundit të iOS, pasi shumë nga këto dobësi korrigjohen vetëm me azhurnimet e softuerit. Apple ka forcuar protokollin e saj të aplikacioneve, por ata që nuk e kanë përditësuar sistemin e tyre operativ mund të jenë ende në rrezik të problemit.
Rrjedhjet dhe shkeljet e sigurisë janë një konstante në botën dixhitale, gjë që nënvizon duhet për të qenë gjithmonë vigjilent ndaj rreziqeve të mundshme. Ky incident me aplikacionin Passwords të Apple është një kujtesë se edhe mjetet më të sigurta mund të dështojnë në një moment. Mbrojtja më e mirë mbetet një kombinim i praktikave të mira të sigurisë kibernetike dhe përdorimit të teknologjive të avancuara të mbrojtjes.
