iPhoneユーザーが3カ月もの間パスワード漏えいの危険にさらされていたことが明らかに

iOS 18で導入されたAppleの「パスワード」アプリにHTTP経由で通信する脆弱(ぜいじゃく)性があり、ユーザーが知らぬうちにフィッシングサイトへ誘導されてしまう危険があったことが明らかになりました。この脆弱性は約3カ月間修正されませんでした。

#Security: iOS 18 Passwords App Vulnerable to Phishing Attacks! - YouTube

Apple's Passwords app was vulnerable to phishing attacks for nearly three months after launch - 9to5Mac
https://9to5mac.com/2025/03/18/apples-passwords-app-was-vulnerable-to-phishing-attacks-for-nearly-three-months-after-launch/

Appleのパスワードアプリに存在する脆弱性を発見したのは、セキュリティ研究チームのMyskです。Myskによると、パスワードアプリが暗号化されていないHTTP経由でパスワードリセットのページを開くようデフォルト設定されているだけでなく、同じくHTTP経由でアカウントのロゴやアイコンを取得していたとのこと。

仮に、ユーザーがアプリからMicrosoftのパスワード変更ページを開くとします。

すると、アプリはHTTP経由でウェブサイトを開こうとします。

ほとんどのウェブサイトは暗号化されていないHTTP接続に対応していますが、基本的には自動的に暗号化通信プロトコルのHTTPSにリダイレクトしています。パスワード変更自体は暗号化されたページで行えるため、認証情報が平文で送信されることはありませんが、攻撃者がユーザーと同じネットワーク、例えばカフェや空港のWi-Fiなどに接続し、リダイレクトされる前のHTTPリクエストを傍受した場合、ユーザーをフィッシングサイトにリダイレクトさせることができたそうです。

Myskはこの脆弱性を2024年9月に報告しましたが、Appleが2024年12月にリリースしたiOS 18.2で修正するまで3カ月を要したとのことです。また、Appleがパスワードアプリのセキュリティアップデートについて詳細を報告したのは2025年3月になってからでした。

Myskの研究者は「Appleがこのような機密性の高いアプリにデフォルトでHTTPSを強制しなかったことに驚いています。Appleは、セキュリティ意識の高いユーザーに対し、アイコンのダウンロードを完全に無効にするオプションを提供すべきです」と述べました。