iOS 13 測試版被發現存在嚴重漏洞,可以讓人毋須用 Face ID 或 Touch ID 驗證之下,就可以打開存放在手機裡的密碼清單,任意閱覽密碼。雖然測試版有漏洞是可以接受的,不過如果大家是拿 iOS 13 公開測試版來日常使用的話就要小心了。
iOS 的網站和軟件密碼是以加密方式儲存在機內的,要閱覽或編輯密碼,就要在「設定」裡選擇「密碼與帳戶>網站與 App 密碼」,並通過 Face ID/Touch ID/密碼驗證之後,才會顯示出來。
不過在 iOS 13 測試版中,用戶只要不停點擊「網站與 App 密碼」一項,在出現輸入密碼或 Face ID/Touch ID 驗證時按「取消」再不停點擊,反覆試幾次之後,就能順便打開密碼清單,看盡所有密碼。而且只要試過一次成功,只要不關機的話點擊「網站與 App 密碼」不會再要求密碼驗證。據知這個漏洞在 iPadOS 13 上一樣適用。
當然,心水清的朋友一定會發現,要到達「密碼與帳戶」設定,首先就要解鎖手機,仍然需要用 Face ID/Touch ID/密碼驗證。這個部分就沒有被發現漏洞。不過如果大家平時沒有好好鎖上手機,丟下解了鎖的手機任人取用,尤其是身邊有愛搞怪的朋友的話就要特別小心。
幸好這個漏洞在測試版已被發現。事實上,安裝測試版 iOS 來用就應該知道要承受一定的臭蟲和漏洞風險,不過因為 iOS 已推出 Public Beta ,可能有些喜歡嘗鮮的朋友會裝來日常使用。這就要額外小心。
已經有人向 Apple 報告了有關漏洞,預期 Apple 會在不久就推出的開發者測試版 beta 4 和 Public Beta 3 裡修正有關漏洞。
[ot-video][/ot-video]