An iOS 13 Bug Allows Unauthorized Access to the Data in 'Website & App Passwords' Settings

iOS 13 Security Vulnerability

询问任何Apple产品的粉丝是什么让他们的设备比其他产品更好,其中一个不可避免的问题就是源源不断的软件更新。事实上,冷酷的硬数据显示,与Android用户相比,更多的iDevice用户可以享受Apple操作系统的最新功能。还有很多功能可供欣赏。

iOS 12出现在2018年9月,如果一切按计划进行,其继任者iOS 13应该在今年9月推出后12个月推出。这意味着Apple还有几个月的时间来修复不可避免的错误,微调新功能,并解决任何稳定性问题,并且开发人员和公共beta测试程序也是为了帮助解决问题。他们似乎做得很好。感谢他们,Apple最近了解到一个相当严重的安全漏洞,如果人们要继续信任iDevices的隐私,就必须果断地压扁它。

Keychain漏洞使beta测试人员的密码面临风险

许多人可能知道完全依赖Apple设备的用户可以利用名为iCloud Keychain的东西。它是一个内置的密码管理工具,可存储登录和个人数据,并在Mac,iPhone和iPad上同步。显然,如果Keychain将作为一个正确的密码管理器工作,那么用户名和密码需要易于访问。在iOS 12中,Apple将登录凭据放在“ 设置”菜单中的“ 网站和应用程序密码 ”部分下,从外观上看,它们也将保留在iOS 13中。

访问它们对您来说应该很容易,但对其他人来说应该很难,这就是为什么当您点击网站和应用程序密码时 ,您会看到通过FaceID或TouchID或通过密码请求身份验证的提示。

Beta测试人员发现,您可以访问敏感数据,但不会证明您有权这样做。事实证明,如果您反复点击网站和应用程序密码按钮大约十几次,并在验证窗口出现时点击取消,您就可以访问敏感数据。

上周,这个bug的第一次报告出现在Reddit上 ,从那时起,它已经被媒体喜欢讨论9to5 Mac的和名的YouTube频道iDeviceHelp

显然,首先分享他们调查结果的用户看到了iOS 13的Public Beta 3版本上的错误,尽管其他人说它从第一个测试版开始就存在。

有好消息

你需要知道的第一件事是这个bug并不像有些人声称的那么糟糕。虽然犯罪分子理论上可以绕过身份验证提示并打开登录凭据列表,但这样做需要两件重要的事情 - 物理访问和未锁定的设备。

关于它的最好的事情是,在Apple即将推出的操作系统仍处于测试阶段时发现了这个漏洞. Apple意识到了这个漏洞, 一些社交媒体用户认为它可能已经被修复。值得庆幸的是,对真实用户的整体影响有限。话虽这么说,一些beta测试人员往往会忘记他们正在使用未完成的产品,应该谨慎对待,特别是如果它是在他们的主要设备上。希望这个bug可以作为所有beta测试程序参与者的警告。

August 16, 2019
Uncategorized