丹·普拉扎克 测试系统的测试版本既有光明的一面,也有黑暗的一面。在发布之前尝试所有新功能很诱人,但另一方面,测试人员和开发人员面临严重安全缺陷的风险。苹果及其新的 iOS 13 和 iPadOS 系统的情况并非如此,其中发现了一个错误,允许您在无需授权的情况下查看设备上存储的所有密码、电子邮件和用户名。
该错误会影响在 iPhone 或 iPad 上使用钥匙串功能的用户。这使您可以保存所有已保存的密码,并在通过 Touch ID 或 Face ID 进行用户身份验证后提供自动填写和登录应用程序和网站的功能。
它可能是 你感兴趣
彼得·什库塔 保存的密码、用户名和电子邮件也可以在以下位置查看 调整,在该部分 密码和帐户,特别是在单击该项目之后 网站和应用程序密码。在这里,所有存储的内容都会在适当的身份验证后显示给用户。然而,在 iOS 13 和 iPadOS 中,通过 Face ID/Touch ID 进行的身份验证很容易被绕过。
利用该错误并不复杂,只需在第一次授权失败后重复点击上述项目,多次尝试后内容就会被完全写出。您可以在下面所附频道的视频中找到所述过程的示例 设备帮助, 谁发现了这个错误。黑客攻击后,可以搜索和显示有关给定用户名和密码分配给哪个网站/服务/应用程序的信息。
但是,应该注意的是,只有在设备已解锁的情况下才能利用这些错误。因此,如果您安装了 iOS 13 或 iPadOS,并且您将 iPhone 或 iPad 借给某人,请不要让设备处于无人看管的状态。毕竟,这就是我们指出错误的原因 - 以便您作为新系统的测试人员格外小心。
苹果应该在下一个测试版本中尽快修复该问题。然而,服务器上的一位讨论者 9to5mac 指出,苹果在第一个测试版测试时就已经指出了这个错误,尽管工程师要求提供详细信息,但一个多月后仍无法修复。
苹果警告所有参与其系统测试计划的开发人员和测试人员,测试版可能包含错误。因此,任何安装 iOS 13、iPadOS、watchOS 6、tvOS 13 和 macOS 10.15 的人都必须考虑到可能的安全威胁。因此,Apple 强烈建议不要在主要设备上安装测试系统。
