| 15 июля 2019 г. — 16:54 PT
Обновление: iOS 13 beta 4 исправляет эту уязвимость.
iOS 13 все еще находится на стадии бета-тестирования, поэтому ошибки вполне ожидаемы, но недавно обнаруженная уязвимость в операционной системе заслуживает особого внимания. Этот баг в iOS 13 позволяет легко получить доступ к данным «Пароли веб-сайтов и приложений» в Настройках.
По сути, при использовании iOS 13 developer beta 3 или второй публичной бета-версии iOS 13, невероятно легко обойти запрос аутентификации Face ID или Touch ID в Настройках при попытке доступа к вашим паролям iCloud Keychain. Впервые об этой проблеме было сообщено на Reddit.
Как подробно показал iDeviceHelp на YouTube, вы можете получить доступ ко всем сохраненным именам пользователей и паролям в Настройках, многократно нажимая на меню «Пароли веб-сайтов и приложений» и избегая запроса Face ID или Touch ID. После нескольких попыток iOS 13 покажет все ваши пароли и логины, даже если вы никогда успешно не проходили аутентификацию с помощью Face ID или Touch ID.
9to5Mac подтвердил, что эта уязвимость присутствует в последней бета-версии iOS 13 для разработчиков. Apple была проинформирована о проблеме через приложение Feedback в iOS 13, но пока не отреагировала. Баг также присутствует в последних бета-версиях iPadOS 13.
Конечно, чтобы получить доступ к меню «Пароли веб-сайтов и приложений», злоумышленнику сначала нужно будет разблокировать ваше устройство, будь то с помощью Face ID, Touch ID или вашего пароля.
Запуская бета-версию iOS, вы принимаете на себя определенный уровень риска, и эта уязвимость является хорошим примером такого риска. Хотя стоит отметить, что такая серьезная дыра в безопасности присутствует в публичной бета-версии iOS 13, которую Apple выпустила раньше намеченного срока для пользователей. Тем не менее, никогда не следует ожидать, что бета-версия iOS будет идеально безопасной и стабильной, особенно всего через 6 недель после начала тестирования.
Apple выпустила iOS 13 beta 3 для разработчиков 2 июля. Это означает, что выход iOS 13 beta 4, вероятно, состоится через день-два. В идеале, iOS 13 beta 4 и iOS 13 public beta 3 устранят эту уязвимость, но гарантий нет.
Чтобы увидеть баг в действии, посмотрите видео ниже.