Критическая уязвимость в Apple Passwords оставалась без внимания 3 месяца

Критическая уязвимость в Apple Passwords оставалась без внимания 3 месяца

Критическая уязвимость в Apple Passwords оставалась без внимания 3 месяца

Компания Apple устранила серьёзную уязвимость в приложении Passwords, из-за которой пользователи могли стать жертвами фишинговых атак. Брешь оставалась в менеджере паролей почти три месяца — с момента выхода iOS 18 до выпуска обновления iOS 18.2.

Исследователи из Mysk обнаружили, что Passwords передавал данные через незащищенный протокол HTTP, обращаясь более чем к 130 веб-сайтам.

Это касалось как загрузки значков учётных записей, так и страниц сброса пароля. Такой подход позволял злоумышленникам, имеющим доступ к той же сети (например, в кафе или отеле), перехватывать запросы и перенаправлять пользователей на фишинговые сайты.

«Мы были удивлены, что в таком важном приложении Apple не использовала HTTPS по умолчанию», — заявили эксперты Mysk.

 

Они также подчеркнули, что пользователям надо разрешить полностью отключать загрузку значков сайтов, поскольку частые запросы к различным ресурсам могут вызывать беспокойство с точки зрения безопасности.

Хотя большинство современных сайтов автоматически перенаправляют HTTP-запросы на HTTPS, уязвимость Passwords позволяла злоумышленникам вмешиваться в редирект, создавая поддельные страницы и похищая учётные данные.

Дыру устранили в iOS 18.2, но Apple раскрыла информацию об уязвимости только спустя несколько месяцев. В обновлённой версии Passwords теперь использует HTTPS по умолчанию для всех соединений.

Импортозамещение на шильдиках: китайские ноутбуки выдали за российские

Мособлсуд оставил в силе решение о взыскании почти 370 млн рублей с фигурантов дела о поставках Минобороны китайской техники под видом российской. История тянется с 2016 года. Тогда ведомство заключило контракт на 367,1 млн рублей с ООО «Антей».

По документам компания должна была поставить отечественную технику для работы со служебной информацией.

В итоге в 33 военные организации, включая академии, училища и учебные центры, отправили более 102 тыс. USB-накопителей и 3142 ноутбука.

Вот только российскими они оказались в основном на бумаге, как выяснил «КомерсантЪ».

По версии следствия, технику закупали в Китае через посредников, а уже в России доводили до нужного патриотического вида: устанавливали специальную операционную систему, прикладывали фиктивную документацию, наносили лазерную гравировку «МО» и клеили шильдики «ДЕПО Электроникс».

ФСБ установила, что поставленная продукция не соответствовала условиям контракта и была произведена в Китае. Иными словами, импортной технике устроили быстрый ребрендинг и отправили в войска как отечественную.

Организатором схемы следствие считает владельца DEPO Computers Сергея Эскина. По данным правоохранителей, собственных мощностей для исполнения контракта у него не было, а целью сделки было хищение бюджетных средств.

Сам Эскин находится за границей, объявлен в международный розыск и заочно арестован. До суда дошли десять других фигурантов, включая руководителей и сотрудников связанных компаний. Они получили от пяти до семи лет колонии, позднее троим наказание снизили до трех лет.

Теперь к уголовным срокам добавился и счет: Минобороны добилось взыскания всей суммы ущерба. Получился дорогой урок импортозамещения — китайская техника, российская гравировка и почти 370 млн рублей на выходе.

RSS: Новости на портале Anti-Malware.ru