An iOS 13 Bug Allows Unauthorized Access to the Data in 'Website & App Passwords' Settings

iOS 13 Security Vulnerability

詢問任何Apple產品的粉絲是什麼讓他們的設備比其他產品更好,其中一個不可避免的問題就是源源不斷的軟件更新。事實上,冷酷的硬數據顯示,與Android用戶相比,更多的iDevice用戶可以享受Apple操作系統的最新功能。還有很多功能可供欣賞。

iOS 12出現在2018年9月,如果一切按計劃進行,其繼任者iOS 13應該在今年9月推出後12個月推出。這意味著Apple還有幾個月的時間來修復不可避免的錯誤,微調新功能,並解決任何穩定性問題,並且開發人員和公共beta測試程序也是為了幫助解決問題。他們似乎做得很好。感謝他們,Apple最近了解到一個相當嚴重的安全漏洞,如果人們要繼續信任iDevices的隱私,就必須果斷地壓扁它。

Keychain漏洞使beta測試人員的密碼面臨風險

許多人可能知道完全依賴Apple設備的用戶可以利用名為iCloud Keychain的東西。它是一個內置的密碼管理工具,可存儲登錄和個人數據,並在Mac,iPhone和iPad上同步。顯然,如果Keychain將作為一個正確的密碼管理器工作,那麼用戶名和密碼需要易於訪問。在iOS 12中,Apple將登錄憑據放在“ 設置”菜單中的“ 網站和應用程序密碼 ”部分下,從外觀上看,它們也將保留在iOS 13中。

訪問它們對您來說應該很容易,但對其他人來說應該很難,這就是為什麼當您點擊網站和應用程序密碼時 ,您會看到通過FaceID或TouchID或通過密碼請求身份驗證的提示。

Beta測試人員發現,您可以訪問敏感數據,但不會證明您有權這樣做。事實證明,如果您反复點擊網站和應用程序密碼按鈕大約十幾次,並在驗證窗口出現時點擊取消,您就可以訪問敏感數據。

上週,這個bug的第一次報告出現在Reddit上 ,從那時起,它已經被媒體喜歡討論9to5 Mac的和名的YouTube頻道iDeviceHelp

顯然,首先分享他們調查結果的用戶看到了iOS 13的Public Beta 3版本上的錯誤,儘管其他人說它從第一個測試版開始就存在。

有好消息

你需要知道的第一件事是這個bug並不像有些人聲稱的那麼糟糕。雖然犯罪分子理論上可以繞過身份驗證提示並打開登錄憑據列表,但這樣做需要兩件重要的事情 - 物理訪問和未鎖定的設備。

關於它的最好的事情是,在Apple即將推出的操作系統仍處於測試階段時發現了這個漏洞. Apple意識到了這個漏洞, 一些社交媒體用戶認為它可能已經被修復。值得慶幸的是,對真實用戶的整體影響有限。話雖這麼說,一些beta測試人員往往會忘記他們正在使用未完成的產品,應該謹慎對待,特別是如果它是在他們的主要設備上。希望這個bug可以作為所有beta測試程序參與者的警告。

August 16, 2019