Błąd w iOS 13 umożliwia przeglądanie wszystkich zapisanych haseł bez autoryzacji

16. 7. 2019

Testowanie wersji beta systemów ma zarówno jasne, jak i ciemne strony. Wypróbowanie wszystkich nowych funkcji przed ich wydaniem jest kuszące, ale z drugiej strony testerzy i programiści są narażeni na ryzyko poważnych luk w zabezpieczeniach. Inaczej jest w przypadku Apple i jego nowych systemów iOS 13 i iPadOS, gdzie wykryto błąd umożliwiający przeglądanie wszystkich haseł, e-maili i nazw użytkowników przechowywanych na urządzeniu bez konieczności autoryzacji.

Błąd dotyczy użytkowników korzystających z funkcji pęku kluczy na swoim iPhonie lub iPadzie. Pozwala to na zapisanie wszystkich zapisanych haseł, a następnie oferuje funkcję automatycznego uzupełniania i logowania do aplikacji i stron internetowych po uwierzytelnieniu użytkownika za pomocą Touch ID lub Face ID.

iOS 13 może naprawić kontakt wzrokowy podczas FaceTime

Zapisane hasła, nazwy użytkowników i adresy e-mail można również przeglądać Ustawienia, w sekcji Hasła i konta, szczególnie po kliknięciu elementu Hasła do stron internetowych i aplikacji. Tutaj cała przechowywana treść jest wyświetlana użytkownikowi po odpowiednim uwierzytelnieniu. Jednak w przypadku iOS 13 i iPadOS uwierzytelnianie za pomocą Face ID/Touch ID można łatwo ominąć.

Wykorzystanie błędu nie jest wcale skomplikowane, wystarczy, że po pierwszej nieudanej autoryzacji kilka razy klikniesz na wspomniany element, a po kilku próbach treść zostanie całkowicie rozpisana. Próbkę opisanej procedury można zobaczyć na filmie z kanału załączonego poniżej iDeviceHelp, kto odkrył błąd. Po włamaniu dostępne jest zarówno wyszukiwanie, jak i wyświetlanie informacji o tym, do jakiej witryny/usługi/aplikacji przypisana jest dana nazwa użytkownika i hasło.

Wcześniejsze

Należy jednak zauważyć, że błędy można wykorzystać tylko wtedy, gdy urządzenie jest już odblokowane. Dlatego jeśli masz zainstalowany system iOS 13 lub iPadOS i pożyczasz komuś iPhone'a lub iPada, nie zostawiaj urządzenia bez nadzoru. Przecież po to wytykamy błąd - abyście Wy, jako testerzy nowych systemów, zachowali szczególną ostrożność.

Apple powinno spieszyć się z poprawką w jednej z kolejnych wersji beta. Jednak jeden z dyskutantów na serwerze 9to5mac zauważa, że Apple wskazało błąd już podczas testów pierwszej bety i choć inżynierowie poprosili o szczegółowe informacje, to nawet po ponad miesiącu nie udało im się go naprawić.

Apple ostrzega wszystkich programistów i testerów uczestniczących w programie testowania systemu, że wersje beta mogą zawierać błędy. Każdy, kto instaluje iOS 13, iPadOS, watchOS 6, tvOS 13 i macOS 10.15, musi zatem liczyć się z możliwym zagrożeniem bezpieczeństwa. Z tego powodu Apple zdecydowanie odradza instalowanie systemów do testów na urządzeniu głównym.

Tematy: tvOS 13, zegarek 6, iOS 6 (tvOS), iOS 13, ID twarzy, dotknij ID, 9to5mac, Poczta, Kontakt, program

Dyskusja nad artykułem

Twoje imię i nazwisko

Twój komentarz

Wypełniając powyższe dane, potwierdzam, że firma TEXT FACTORY s.r.o. z siedzibą w Brnie, Durďákova 336/29, Černá Pole, kod pocztowy: 613 00, numer identyfikacyjny: 06157831, zarejestrowana w Sądzie Okręgowym w Brnie, sekcja C , wpisz 100399, będzie przetwarzał moje dane osobowe podane w wypełnionym przeze mnie formularzu rejestracyjnym w oparciu o prawnie uzasadniony interes TEXT FACTORY s.r.o. zgodnie z art. 6 ust. 1 lit. f) RODO oraz w celu wypełnienia obowiązków prawnych (art. 6 ust. 1 lit. c RODO), w następujących celach: konieczność zapewnienia autoryzacji osób odwiedzających strony internetowe prowadzone przez TEXT FACTORY s.r.o. w celu aktywnego udziału w publikowanych artykułach lub w dyskusjach forach dyskusyjnych i korzystania z praw TEXT FACTORY s.r.o. jako administratora tych forów dyskusyjnych. Więcej informacji na temat przetwarzania danych osobowych i przysługujących praw znajdziesz w Zajęcia na temat ochrony danych osobowych. cały tekst

Mogłoby być interesują Cię

Powiązany