更多

    iOS 13 測試版被揭驚天漏洞 可輕易存取儲存密碼

    Mickey Chan
    Mickey Chan
    愛模擬飛行、希望終有一日回到單車上的宅,眼鏡娘控。座右銘: 1.膽固醇跟美味是成正比的; 2.所有人都可以騙,但絕對不能騙自己; 3.賣掉的貨才是錢,不賣的收藏品不值一文; 4.踩單車,是為了吃更多美食! 5.正義的話語,不一定出自正義之人的口;

    iOS 13 測試版被發現存在嚴重漏洞,可以讓人毋須用 Face ID 或 Touch ID 驗證之下,就可以打開存放在手機裡的密碼清單,任意閱覽密碼。雖然測試版有漏洞是可以接受的,不過如果大家是拿 iOS 13 公開測試版來日常使用的話就要小心了。

    iOS 的網站和軟件密碼是以加密方式儲存在機內的,要閱覽或編輯密碼,就要在「設定」裡選擇「密碼與帳戶>網站與 App 密碼」,並通過 Face ID/Touch ID/密碼驗證之後,才會顯示出來。

    不過在 iOS 13 測試版中,用戶只要不停點擊「網站與 App 密碼」一項,在出現輸入密碼或 Face ID/Touch ID 驗證時按「取消」再不停點擊,反覆試幾次之後,就能順便打開密碼清單,看盡所有密碼。而且只要試過一次成功,只要不關機的話點擊「網站與 App 密碼」不會再要求密碼驗證。據知這個漏洞在 iPadOS 13 上一樣適用。

    開啟「設定」,選擇「密碼與帳戶>網站與 App 密碼」⋯⋯
    開啟「設定」,選擇「密碼與帳戶>網站與 App 密碼」⋯⋯
    不停點擊「網站與 App 密碼」一項⋯⋯
    不停點擊「網站與 App 密碼」一項⋯⋯
    出現驗證對話框時就按「取消」再繼續點擊
    出現驗證對話框時就按「取消」再繼續點擊
    成功打開密碼清單,有時候還會再彈出驗證對話框,不過只要按「取消」就可以。
    成功打開密碼清單,有時候還會再彈出驗證對話框,不過只要按「取消」就可以。

    當然,心水清的朋友一定會發現,要到達「密碼與帳戶」設定,首先就要解鎖手機,仍然需要用 Face ID/Touch ID/密碼驗證。這個部分就沒有被發現漏洞。不過如果大家平時沒有好好鎖上手機,丟下解了鎖的手機任人取用,尤其是身邊有愛搞怪的朋友的話就要特別小心。

    幸好這個漏洞在測試版已被發現。事實上,安裝測試版 iOS 來用就應該知道要承受一定的臭蟲和漏洞風險,不過因為 iOS 已推出 Public Beta ,可能有些喜歡嘗鮮的朋友會裝來日常使用。這就要額外小心。

    已經有人向 Apple 報告了有關漏洞,預期 Apple 會在不久就推出的開發者測試版 beta 4 和 Public Beta 3 裡修正有關漏洞。

    [ot-video][/ot-video]

    您會感興趣的內容

    相關文章