אפל (Apple) תיקנה באחרונה פרצת אבטחה חמורה באפליקציית הסיסמאות שלה, שחשפה משתמשים לסכנת התקפות פישינג במשך שלושה חודשים תמימים. הפגיעות, שהחלה עם השקת iOS 18 והסתיימה רק עם שחרור עדכון iOS 18.2, התגלתה על ידי חוקרי אבטחה מחברת הפיתוח Mysk.
על פי עדכון תוכן האבטחה של אפל שאותר על ידי 9to5Mac, הבעיה אפשרה לתוקפים בעמדת רשת מועדפת לחשוף מידע רגיש של משתמשים. בתיאור הבאג, אפל מציינת בפשטות: "בעיה זו טופלה באמצעות שימוש ב-HTTPS בעת שליחת מידע ברשת."
במילים פשוטות יותר, אפליקציית הסיסמאות של אפל שלחה בקשות לא מוצפנות לסמלילים (לוגואים) ואייקונים שהיא מציגה לצד האתרים שאליהם משויכות הסיסמאות השמורות שלכם. היעדר ההצפנה איפשר לתוקפים הנמצאים באותה רשת Wi-Fi, כמו בשדה תעופה או בבית קפה, להפנות את הדפדפן שלכם לאתר פישינג הנראה זהה לאתר המקורי, ובכך לגנוב את פרטי ההתחברות שלכם.
חברת Mysk, שגילתה את הפגיעות, פרסמה סרטון הדגמה ביוטיוב המראה כיצד פועל הניצול. לפי דבריהם, הם דיווחו על הפגיעות לאפל כבר בספטמבר, אך החברה המתינה חודשים ארוכים לפני שתיקנה את הבעיה באופן רשמי.
מה שמעורר דאגה מיוחדת הוא העובדה שהבאג השפיע על מערכת האחסון והניהול של הסיסמאות עצמה – אפליקציה שנועדה להגן על המידע הרגיש ביותר של המשתמשים. חמור מכך, אפל תיארה את אותה פגיעות בעדכוני תוכן האבטחה עבור מחשבי Mac, iPad וה-Vision Pro, מה שמרמז על כך שהבעיה הייתה נרחבת בכל האקוסיסטם של החברה.
אנו תמיד ממליצים לעדכן לגרסה החדשה ביותר, כי רק כך אפל יכולה לתקן ולחסום פרצות אבטחה. מעבר לכך, זהו תזכורת חשובה לנקוט משנה זהירות בעת שימוש ברשתות Wi-Fi ציבוריות, במיוחד כאשר ניגשים למידע רגיש או מזינים פרטי התחברות.
עם זאת, למרות העדכון, השאלה נותרת – מדוע לקח לאפל, חברה המתגאה בסטנדרטים הגבוהים שלה לאבטחה ופרטיות, חודשים ארוכים לתקן פגיעות כה יסודית? שאלה זו נותרת ללא מענה, משום שהחברה מקופרטינו נמנעה עד כה מלהתייחס ישירות לעיכוב בטיפול בבעיה.
