Pada iOS 18, Apple memisahkan alat manajemen kata sandi Keychain yang sebelumnya hanya tersimpan di Pengaturan menjadi aplikasi mandiri yang disebut Kata Sandi. Ini adalah langkah pertama perusahaan untuk membuat manajemen kredensial lebih nyaman bagi pengguna. Sekarang telah terungkap bahwa bug HTTP yang serius membuat pengguna Passwords rentan terhadap serangan phishing selama hampir tiga bulan, sejak rilis awal iOS 18 hingga patch di iOS 18.2.
Menurut 9to5mac.com, para peneliti keamanan di Mysk pertama kali menemukan kelemahan tersebut setelah memperhatikan bahwa Laporan Privasi Aplikasi iPhone mereka menunjukkan bahwa Passwords telah menghubungi 130 situs web yang berbeda secara mengejutkan melalui lalu lintas HTTP yang tidak aman. Hal ini mendorong keduanya untuk menyelidiki lebih lanjut, dan menemukan bahwa aplikasi tersebut tidak hanya mengambil logo dan ikon akun melalui HTTP, tetapi juga secara default membuka halaman pengaturan ulang kata sandi menggunakan protokol yang tidak terenkripsi. “Hal ini membuat pengguna rentan: penyerang dengan akses jaringan istimewa dapat mencegat permintaan HTTP dan mengarahkan pengguna ke situs web phishing,” kata Mysk kepada 9to5Mac.
“Kami terkejut bahwa Apple tidak memberlakukan HTTPS secara default untuk aplikasi yang begitu sensitif,” kata Mysk. “Selain itu, Apple seharusnya menyediakan opsi bagi para pengguna yang sadar akan keamanan untuk menonaktifkan ikon pengunduhan sepenuhnya. Saya tidak merasa nyaman dengan pengelola kata sandi saya yang terus-menerus melakukan ping ke setiap situs web yang saya simpan kata sandinya, meskipun panggilan yang dikirimkan Passwords tidak mengandung ID apa pun,” tambahnya.
Sebagian besar situs web modern saat ini mengizinkan koneksi HTTP yang tidak terenkripsi tetapi secara otomatis mengalihkannya ke HTTPS menggunakan pengalihan 301. Penting untuk dicatat bahwa aplikasi Passwords sebelum iOS 18.2 akan membuat permintaan melalui HTTP, namun akan dialihkan ke versi HTTPS yang aman. Dalam keadaan normal, hal ini tidak masalah, karena perubahan kata sandi terjadi pada halaman yang terenkripsi, sehingga kredensial tidak dikirim dalam bentuk teks biasa.
Namun, ini menjadi masalah ketika penyerang terhubung ke jaringan yang sama dengan pengguna (misalnya Starbucks, bandara, atau Wi-Fi hotel) dan mencegat permintaan HTTP awal sebelum dialihkan. Dari sini mereka dapat memanipulasi lalu lintas dengan beberapa cara. Seperti yang terlihat pada demo Mysk di atas, ini termasuk memodifikasi permintaan untuk mengalihkan situs phishing yang menyerupai halaman live.com milik Microsoft. Penyerang kemudian dapat dengan mudah mengumpulkan kredensial dari para korban dan bahkan melancarkan serangan lainnya.
Meskipun hal ini telah ditambal secara diam-diam pada bulan Desember tahun lalu, Apple baru saja mengungkapkannya dalam 24 jam terakhir. Aplikasi Passwords sekarang menggunakan HTTPS secara default untuk semua koneksi, jadi pastikan Anda menjalankan setidaknya 18.2 pada perangkat Anda! Saya tidak akan terkejut jika berita ini tidak banyak terdengar. Sebarkan untuk meningkatkan kesadaran!