An iOS 13 Bug Allows Unauthorized Access to the Data in 'Website & App Passwords' Settings

詢問任何Apple產品的粉絲是什麼讓他們的設備比其他產品更好，其中一個不可避免的問題就是源源不斷的軟件更新。事實上，冷酷的硬數據顯示，與Android用戶相比，更多的iDevice用戶可以享受Apple操作系統的最新功能。還有很多功能可供欣賞。

iOS 12出現在2018年9月，如果一切按計劃進行，其繼任者iOS 13應該在今年9月推出後12個月推出。這意味著Apple還有幾個月的時間來修復不可避免的錯誤，微調新功能，並解決任何穩定性問題，並且開發人員和公共beta測試程序也是為了幫助解決問題。他們似乎做得很好。感謝他們，Apple最近了解到一個相當嚴重的安全漏洞，如果人們要繼續信任iDevices的隱私，就必須果斷地壓扁它。

Keychain漏洞使beta測試人員的密碼面臨風險

許多人可能知道完全依賴Apple設備的用戶可以利用名為iCloud Keychain的東西。它是一個內置的密碼管理工具，可存儲登錄和個人數據，並在Mac，iPhone和iPad上同步。顯然，如果Keychain將作為一個正確的密碼管理器工作，那麼用戶名和密碼需要易於訪問。在iOS 12中，Apple將登錄憑據放在“ 設置”菜單中的“ 網站和應用程序密碼 ”部分下，從外觀上看，它們也將保留在iOS 13中。

訪問它們對您來說應該很容易，但對其他人來說應該很難，這就是為什麼當您點擊網站和應用程序密碼時 ，您會看到通過FaceID或TouchID或通過密碼請求身份驗證的提示。

Beta測試人員發現，您可以訪問敏感數據，但不會證明您有權這樣做。事實證明，如果您反复點擊網站和應用程序密碼按鈕大約十幾次，並在驗證窗口出現時點擊取消，您就可以訪問敏感數據。

上週，這個bug的第一次報告出現在Reddit上 ，從那時起，它已經被媒體喜歡討論9to5 Mac的和名的YouTube頻道iDeviceHelp 。

顯然，首先分享他們調查結果的用戶看到了iOS 13的Public Beta 3版本上的錯誤，儘管其他人說它從第一個測試版開始就存在。

有好消息

你需要知道的第一件事是這個bug並不像有些人聲稱的那麼糟糕。雖然犯罪分子理論上可以繞過身份驗證提示並打開登錄憑據列表，但這樣做需要兩件重要的事情 - 物理訪問和未鎖定的設備。

關於它的最好的事情是，在Apple即將推出的操作系統仍處於測試階段時發現了這個漏洞. Apple意識到了這個漏洞， 一些社交媒體用戶認為它可能已經被修復。值得慶幸的是，對真實用戶的整體影響有限。話雖這麼說，一些beta測試人員往往會忘記他們正在使用未完成的產品，應該謹慎對待，特別是如果它是在他們的主要設備上。希望這個bug可以作為所有beta測試程序參與者的警告。