אפל נאלצה להתמודד עם פרצת אבטחה משמעותית שהתגלתה באפליקציית ניהול הסיסמאות שלה, "Passwords", שהוצגה במערכת ההפעלה iOS 18. על פי דיווחים שהתפרסמו לאחרונה, במשך שלושה חודשים מאז השקת המערכת החדשה, המשתמשים היו חשופים להתקפות פישינג שעלולות היו להוביל לגניבת מידע רגיש. הסיבה לכך הייתה שימוש לא תקין בפרוטוקול HTTP לא מאובטח, במקום בפרוטוקול HTTPS המוצפן והבטוח. הבעיה אפשרה לגורמים זדוניים ליירט מידע ולנצל את החולשה ברשתות ציבוריות, כמו שדות תעופה ובתי קפה, כדי להפנות משתמשים לאתרי פישינג שנראים אמינים אך למעשה נועדו לגנוב את פרטיהם.
על פי פרסום רשמי של אפל, הפירצה תוקנה בעדכון האבטחה האחרון של iOS 18.2, לאחר שהתגלתה על ידי חוקרי אבטחה מחברת פיתוח האפליקציות Mysk. הפגם התבטא בכך שאפליקציית הסיסמאות של אפל שלחה בקשות לא מוצפנות בעת שליפת סמלים ולוגואים של אתרים אליהם מקושרות הסיסמאות של המשתמשים. חוסר ההצפנה אפשר להאקרים שנמצאים באותה רשת ליירט את הבקשות הללו ולנצל אותן כדי להוביל משתמשים לדפים מזויפים המתחזים לאתרים רשמיים.
המשמעות היא שמשתמשים שהתחברו לרשתות Wi-Fi ציבוריות או לא מאובטחות היו עלולים למצוא את עצמם מועברים לאתרי פישינג מבלי לחשוד בכך. בכך ניתנה להאקרים האפשרות לאסוף סיסמאות ומידע אישי קריטי. אפל אישרה את קיומה של הפירצה במסגרת עדכוני האבטחה שלה למכשירי אייפון, אייפד, מחשבי מק ומכשירי Vision Pro.
החוקרים שגילו את הבעיה, מסרו כי דיווחו עליה לראשונה בספטמבר, אך היא לא טופלה באופן מיידי, מה שהותיר את המשתמשים חשופים למשך חודשים. כעת, עם תיקון הפירצה, אפל מבטיחה שהמידע מועבר בצורה מאובטחת ומוצפנת בהתאם לסטנדרטים המקובלים. עם זאת, המקרה מעורר תהיות לגבי מערך האבטחה של החברה וכיצד טעות כזו הצליחה לחמוק מבדיקות האיכות והבקרות המחמירות שלה.
מומחי אבטחה ממליצים למשתמשים לוודא שהמכשירים שלהם מעודכנים לגרסה האחרונה של מערכת ההפעלה, להימנע מהזנת פרטי התחברות באתרים חשודים, ולהשתמש ברשתות VPN בעת התחברות לרשתות ציבוריות כדי לצמצם סיכוני אבטחה דומים בעתיד.