iOS 13 漏洞成精:可绕过苹果安全机制访问用户名和密码

砍柴网  •  扫码分享
我是创始人李岩:很抱歉!给自己产品做个广告,点击进来看看。  

面对各大安卓 手机 厂商的围堵拦截, 苹果 公司可是一刻都不能放松警惕。后者除了积极筹备 2019 年款新 iPhone 外,在其 iOS 13 系统更新上更是频频出手。

得不到的永远在骚动,面对 iOS 13 的诱惑,很少有果粉能够无动于衷。稍微有点动手能力的 iPhone 用户,早就已经通过描述文件的方式,给 iPhone 安装了最新的 iOS 13 beta 3。

然而,终究是心急吃不着热豆腐。这不,近期就有提前装机测试版的开发人员曝出 iOS 13 存在的安全漏洞可以轻松绕过安全机制导致个人信息泄露。

攻入靠手速,最 " 皮 "Bug 登场

Bug 会成精,这话你信吗?见识了 iOS13 的安全漏洞之后,我是信了。

据外媒报道,正处于测试阶段的 iOS 13 存在安全漏洞,这个漏洞可以帮助攻击者跳过 iPhone 的 Face ID、Touch IS、密码输入等安全机制,直接访问 iCloud Keychain 密码。

开发人员称,进入升级 iOS 13 后的手机设置界面,一个名为 Website &Passwords 的账户入口成为了被攻破的关键。

在测试中,手机的安全机制完全正常。这主要体现在解锁手机和正常点击 Website &Passwords 时会弹出 Face ID、Touch IS 或者密码输入框。

iOS 13 漏洞成精:可绕过苹果安全机制访问用户名和密码

该开发人员称:" 但是,当我忽略这些输入框并反复点击这一入口时,神奇的事情发生了,我竟然跳过了上述全部的安全机制直接进入了账户界面。"

进入之后,攻击者可以访问机主的密码、账户、电子邮件和用户名,而同样的安全问题也在 iPad OS 上被发现。

有趣的是,开发人员发现这一 Bug 的成功激发条件似乎与操作者的点击手速有着某些联系。

" 当我以间隔较大的频次点击选项并选择退出安全验证的时候,很少会出现成功登入的情况出现。然而,当我尝试加快频次,并尽量保持准确点击的时候,通常会更快的进入到选项中。"

目前,开发人员还尚不清楚造成这一安全漏洞的原因为何。据猜测,这也许是 iOS 13 中新加入的一些功能的程序与安全机制决策程序产生冲突,才造成了这样的闹剧。

" 当然,除非苹果方面对这件事进行研究并公之于众,否则我们永远无法知晓这个安全漏洞的来历。"

在这之后,开发人员将问题上报了苹果,但并未收到回复。

威胁虽小,仍需谨慎

开发人员称,由于安全漏洞的触发前提是先要解锁设备,因此这次的安全威胁并不大。但同时,如果苹果没有妥善处理这一问题,仍会为用户隐私安全问题带来不必要的麻烦。

安全人员在接受 iDeviceHelp 记者采访时称,黑客都是一些举一反三的高手。也就是说,一旦设备的这一漏洞被发现,他们总有办法使用一套改进方案来达到自己的目的。

" 锁屏并不能保障完全安全,一部苹果手机的 ID 可以几部机器共用。一些喜欢苹果系统的朋友,平板、电脑、手机都用同一个 ID。将旧手机、电脑等处理后,可能没有将手机的个人信息清除,这种情况很容易被懂行的人修改密码。"

不过,上述情况大可不必担心。

最新的 iOS 和 iPad OS 公共测试版于 7 月 8 日发布,除了安全漏洞,这一测试版本还存在手机续航、APP 闪退、玩 游戏 时手机发热甚至自动重启等问题,苹果称将在 iOS 13 beta 4 和 iOS 13 Public Beta 3 中得到解决。

基于苹果的正常更新频率,第四个开发者测试版应该在本周某个时候到来,预计这个 BUG 会在下个版本被修复。

【来源:雷锋网】

本文被转载1次

首发媒体 砍柴网 | 转发媒体

随意打赏

苹果ios13ios13
提交建议
微信扫一扫,分享给好友吧。