Eén van de nieuwe dingen in iOS 18 is de Wachtwoorden-app. Daarvoor konden we al onze bewaarde wachtwoorden al in Instellingen-app samen vinden, maar met de Wachtwoorden-app heeft Apple het allemaal een stuk eleganter opgelost, met een prettiger interface.

Maar als je nog iOS of iPadOS 18 of 18.1 op je iPhone of iPad hebt staan, dan is er nog een extra reden om meteen een update naar de recentste versie te doen.


Want in de video hierboven kan je zien dat in het begin deze app een stevig probleem met de veiligheid had, want er werden links via HTTP in plaats van beveiligde HTTPS gecommuniceerd. Dit werd trouwens wel netjes door Apple vermeld in de lijst van beveiligingsupdates van iOS  en iPadOS 18.2:

Passwords

Beschikbaar voor: iPhone XS en nieuwer, iPad Pro 13-inch, iPad Pro 12.9-inch 3e generatie en nieuwer, iPad Pro 11-inch 1e generatie en nieuwer, iPad Air 3e generatie en nieuwer, iPad 7e generatie en nieuwer, en iPad mini 5e generatie en nieuwer

Impact: een aanvaller in een geprivilegieerde netwerkpositie kan mogelijk netwerkverkeer wijzigen
Beschrijving: dit probleem is verholpen door HTTPS te gebruiken bij het verzenden van informatie over het netwerk.

CVE-2024-54492: Talal Haj Bakry en Tommy Mysk van Mysk Inc. (@mysk_co)

Zonder bescherming van het versleutelde HTTPS kon een aanvaller op hetzelfde Wi-Fi-netwerk de browser van een gebruiker omleiden naar een kloon phishing-site, waar inloggegevens dan gestolen konden worden. In theorie, want voor zover bekend is dit nooit ‘in het wild’ gebeurd, de ontdekking hiervan in september lijkt op tijd te zijn gekomen.

Blijft wel de open vraag hoe het kan dat de programmeurs bij Apple niet zelf eerder hebben beseft dat deze aanpak niet zo’n goed idee was.