Az Apple-eszközökön sokáig csupán a Beállítások között volt elérhető a jelszavakat tartalmazó rejtett lista, azonban 2024 szeptemberében, az iOS 18-cal együtt bemutatták az új, különálló jelszókezelő alkalmazást. A 9to5Mac szerint azonban most kiderült, hogy az első pár hónapban egy súlyos sebezhetőség volt az appban, ami azért elég aggasztó egy jelszókezelőnél.
A Mysk kiberbiztonsági kutatói a saját iPhone-juk adatvédelmi jelentése nyomán bukkantak rá a hibára. A szakemberek szerint a Jelszavak app 130 különböző weboldallal lépett kapcsolatba nem biztonságos HTTP-protokollon keresztül. A további vizsgálatok rámutattak, hogy az alkalmazás nemcsak fióklogókat és ikonokat hívott le a nem biztonságos kapcsolaton keresztül, hanem így nyitotta meg a jelszó-helyreállító oldalakat is.
A szakértőket meglepte, hogy az Apple nem követelte meg alapértelmezetten a biztonságosabb HTTPS-protokollt. Az Apple egyébként tavaly decemberben, titokban javította ki a hibát, és csak az elmúlt 24 órában hozta nyilvánosságra azt, tette hozzá a hvg. A Jelszavak alkalmazás most már alapértelmezés szerint HTTPS-t használ, ezért fontos, hogy legalább a 18.2-es iOS-verzió fusson az eszközein.
