Ден Пражак Тестування бета-версій систем має як світлі, так і темні сторони. Спокусливо випробувати всі нові функції до їх випуску, але, з іншого боку, тестувальники та розробники наражаються на ризик серйозних недоліків безпеки. Це не стосується Apple і її нових систем iOS 13 і iPadOS, де було виявлено помилку, яка дозволяє переглядати всі паролі, електронні листи та імена користувачів, збережені на пристрої, без необхідності авторизації.
Помилка стосується користувачів, які використовують функцію Keychain на своїх iPhone або iPad. Це дозволяє зберігати всі збережені паролі та згодом пропонує функцію автоматичного заповнення та входу в програми та веб-сайти після аутентифікації користувача через Touch ID або Face ID.
Це може бути зацікавити вас
Петро Шкута Також можна переглянути збережені паролі, імена користувачів і електронні адреси Налаштування, в розділі Паролі та облікові записи, зокрема після натискання елемента Паролі для веб-сайтів і програм. Тут весь збережений вміст відображається користувачеві після відповідної автентифікації. Однак у випадку з iOS 13 і iPadOS автентифікацію за допомогою Face ID/Touch ID можна легко обійти.
Використовувати помилку зовсім не складно, достатньо лише кілька разів натиснути на згаданий пункт після першої невдалої авторизації, і після кількох спроб вміст буде повністю виписано. Зразок описаної процедури дивіться на відео з каналу, прикріпленому нижче iDeviceHelp, який виявив помилку. Після злому доступний як пошук, так і відображення інформації про те, до якого веб-сайту/сервісу/додатку присвоєно дані логін і пароль.
Однак слід зазначити, що помилки можна використовувати, лише якщо пристрій уже розблоковано. Тому, якщо у вас встановлена iOS 13 або iPadOS і ви комусь позичили свій iPhone або iPad, не залишайте пристрій без нагляду. Зрештою, тому ми вказуємо на помилку - щоб ви, як тестувальники нових систем, були особливо уважними.
Apple повинна поспішити з виправленням в одній із наступних бета-версій. Проте один із дискутантів на сервері 9to5mac зазначає, що Apple вже вказувала на помилку під час тестування першої бета-версії, і хоча інженери запитували детальну інформацію, вони не змогли її виправити навіть через більше ніж місяць.
Apple попереджає всіх розробників і тестувальників, які беруть участь у програмі тестування системи, що бета-версії можуть містити помилки. Тому кожен, хто встановлює iOS 13, iPadOS, watchOS 6, tvOS 13 і macOS 10.15, повинен рахуватися з можливою загрозою безпеці. З цієї причини Apple настійно рекомендує не встановлювати системи для тестування на основному пристрої.
