Chyba v iOS 13 umožňuje bez autorizácie zobraziť všetky uložené heslá

16. 7. 2019

Testovanie betaverzií systémov má svoje svetlé aj tienisté stránky. Lákavá je možnosť vyskúšať si všetky novinky ešte pred ich uvedením, ale na druhú stranu sa tým testeri a vývojári vystavujú riziku výskytu vážnych bezpečnostných chýb. Inak tomu nie je ani v prípade Applu a jeho nových systémov iOS 13 a iPadOS, u ktorých bola objavená chyba, ktorá umožňuje zobraziť všetky heslá, e-maily a používateľské mená uložené v zariadení bez nutnosti sa autorizovať.

Chyba sa týka užívateľov, ktorí na iPhone alebo iPade využívajú funkciu Kľúčenka. Tá umožňuje schraňovať všetky uložené heslá a následne ponúka funkciu automatického vyplňovania a prihlasovania v aplikáciách a na stránkach po overení užívateľa cez Touch ID, poprípade Face ID.

iOS 13 dokáže opraviť očný kontakt pri FaceTime

Uložené heslá, používateľské mená a e-maily je možné tiež zobraziť v nastavenie, v sekcii Heslá a účty, a to konkrétne po kliknutí na položku Heslá webov a aplikácií. Tu sa užívateľovi po príslušnej autentizácii vypíše všetok uložený obsah. Avšak v prípade iOS 13 a iPadOS je možné overenie prostredníctvom Face ID/Touch ID ľahko obísť.

Využitie chyby pritom nie je nijako zložité, stačí len po prvej neúspešnej autorizácii opakovane klikať na spomínanú položku a po niekoľkých pokusoch sa obsah kompletne vypíše. Ukážka popísaného postupu je zachcená v nižšie priloženom videu od kanálu iDeviceHelp, ktorý chybu objavil. Po prelomení je dispozícii ako vyhľadávanie, tak aj zobrazenie informácie, k akému webu/službe/aplikácii je dané užívateľské meno a heslo priradené.

Okrem toho musíte o tom vedieť viac.

Treba však podotknúť, že chyby je možné zneužiť iba za predpokladu, že je zariadenie už odomknuté. Preto pokiaľ máte nainštalovaný iOS 13 alebo iPadOS a niekomu požičiavate svoj iPhone či iPad, nenechávajte zariadenie bez dozoru. Ostatne aj preto na chybu upozorňujeme – aby ste vy, ako testeri nových systémov, dbali na zvýšenú opatrnosť.

S opravou by mal Apple ponáhľať v niektorej z ďalších betaverzií. Avšak jeden z diskutujúcich na serveri 9to5mac podotýka, že na chybu Apple upozorňoval už pri testovaní prvej bety a hoci sa inžinieri vypytovali na podrobné informácie, tak ju ani po viac ako mesiaci nezvládli opraviť.

Na fakt, že betaverzie môžu obsahovať chyby, upozorňuje Apple všetkých vývojárov aj testerov, ktorí sa zapájajú do jeho programu na testovanie systémov. S možnou bezpečnostnou hrozbou tak musí počítať každý, kto si nainštaluje iOS 13, iPadOS, watchOS 6, tvOS 13 a macOS 10.15. Z toho dôvodu Apple dôrazne neodporúča inštalovať systémy za účelom ich testovania na primárne zariadenie.

Témy: tvOS 13, Watch 6, iOS 6 (tvOS), iOS 13, ID tváre, dotykové ID, 9to5mac, pošta, dotýkať, program

Diskusia k článku

Vaše meno

Váš komentár

Vyplnením vyššie uvedených údajov beriem na vedomie, že spoločnosť TEXT FACTORY sro, sídlom Brno, Durďákova 336/29, Čierna Pole, PSČ: 613 00, IČO: 06157831, zapísané na Krajskom súde v Brne, oddiel C, vložka 100399 osobné údaje uvedené v rámci mnou vyplneného registračného formulára na základe oprávnených záujmov TEXT FACTORY sro podľa čl. 6 ods. 1 písm. f) GDPR a na splnenie právnych povinností (článok 6 ods. 1 písm. c) GDPR), a to na tieto účely: nevyhnutnosť zabezpečiť oprávnenie návštevníka webových stránok prevádzkovaných spoločnosťou TEXT FACTORY sro prispievať aktívne k zverejneným článkom alebo v rámci diskusných fór a výkon práv TEXT FACTORY sro ako administrátora týchto diskusných fór. Viac informácií o spracovaní osobných údajov a právach možno nájsť v Poučenie o ochrane osobných údajov. celý text

Mohlo by vás zaujímať

Súvisiaci