Um bug do iOS 13 permite acesso não autorizado aos dados nas configurações de "senhas de sites e apps"

iOS 13 Security Vulnerability

Pergunte a qualquer fã de produtos da Apple o que torna seus dispositivos melhores que os demais, e um dos argumentos que inevitavelmente surgirá é o fluxo constante de atualizações de software. De fato, estatísticas frias e rígidas mostram que, em comparação aos usuários do Android, por exemplo, uma parcela muito maior dos proprietários do iDevice aproveita os recursos mais recentes dos sistemas operacionais da Apple. Existem alguns recursos para desfrutar também.

O iOS 12 apareceu em setembro de 2018, e se tudo correr conforme o planejado, seu sucessor, o iOS 13, deve ser lançado apenas doze meses depois, em setembro deste ano. Isso significa que a Apple ainda tem alguns meses para corrigir os bugs inevitáveis, ajustar os novos recursos e resolver todos os problemas de estabilidade, e os programas para desenvolvedores e testes beta públicos foram criados para ajudar. Eles parecem estar fazendo um bom trabalho. Graças a eles, a Apple recentemente aprendeu sobre um bug de segurança bastante sério, que precisa ser esmagado de forma decisiva se as pessoas continuarem confiando em sua privacidade com o iDevices.

Uma vulnerabilidade do Keychain coloca as senhas dos testadores beta em risco

Muitos de vocês devem saber que os usuários que dependem exclusivamente de dispositivos da Apple podem tirar proveito de algo chamado iCloud Keychain. É uma ferramenta interna de gerenciamento de senhas que armazena login e dados pessoais e os sincroniza em Macs, iPhones e iPads. Obviamente, se o Keychain funcionar como um gerenciador de senhas adequado, os nomes de usuário e senhas precisarão ser facilmente acessados. No iOS 12, a Apple colocou as credenciais de login na seção " Website & App Passwords " ( senhas de sites e aplicativos ) no menu " Configurações" e, aparentemente, elas permanecerão no iOS 13 também.

Chegar até eles deve ser fácil para você, mas deve ser difícil para todos os outros, e é por isso que, quando você toca em Website & App Passwords , verá um prompt que solicita autenticação por meio de FaceID ou TouchID ou por meio de uma senha.

Os testadores beta descobriram que você pode acessar os dados confidenciais sem provar que está autorizado a fazê-lo. Acontece que, se você tocar repetidamente no botão Website & App Passwords (senhas de aplicativos e sites ) cerca de uma dúzia de vezes e tocar em Cancelar sempre que a janela de autenticação for exibida, você poderá acessar os dados confidenciais.

Na semana passada, os primeiros relatos do bug apareceram no Reddit , e desde então, ele tem sido discutido pelos meios de comunicação como 9to5 Mac e um canal no YouTube com o nome de iDeviceHelp .

Aparentemente, os usuários que primeiro compartilharam suas descobertas estavam vendo o bug na versão Public Beta 3 do iOS 13, embora outras pessoas tenham dito que já existe desde o primeiro beta.

Há algumas boas notícias

A primeira coisa que você precisa saber é que o bug não é tão ruim quanto algumas pessoas afirmam. Embora um criminoso possa teoricamente ignorar o prompt de autenticação e abrir a lista de credenciais de login, isso exige duas coisas importantes - acesso físico e um dispositivo desbloqueado.

A melhor coisa é que o bug foi encontrado enquanto o próximo sistema operacional da Apple ainda está em beta. A Apple está ciente da vulnerabilidade, e alguns usuários de mídia social acham que ela já pode ter sido corrigida. Felizmente, o impacto geral sobre usuários reais é limitado. Dito isso, alguns testadores beta tendem a esquecer que estão usando um produto inacabado que deve ser abordado com cautela, especialmente se estiver em seus dispositivos primários. Espero que este bug sirva como um aviso para todos os participantes dos programas beta.

August 16, 2019
Uncategorized