iOS 13漏洞成精:可绕过苹果安全机制访问用户名和密码
面对各大安卓手机厂商的围堵拦截,苹果公司可是一刻都不能放松警惕。后者除了积极筹备2019年款新iPhone外,在其iOS 13系统更新上更是频频出手。
得不到的永远在骚动,面对iOS 13的诱惑,很少有果粉能够无动于衷。稍微有点动手能力的iPhone用户,早就已经通过描述文件的方式,给iPhone安装了最新的iOS 13 beta 3。
然而,终究是心急吃不着热豆腐。这不,近期就有提前装机测试版的开发人员曝出iOS 13存在的安全漏洞可以轻松绕过安全机制导致个人信息泄露。
攻入靠手速,最“皮”Bug登场
Bug会成精,这话你信吗?见识了iOS13的安全漏洞之后,我是信了。
据外媒报道,正处于测试阶段的iOS 13存在安全漏洞,这个漏洞可以帮助攻击者跳过iPhone的Face ID、Touch IS、密码输入等安全机制,直接访问iCloud Keychain密码。
开发人员称,进入升级iOS 13后的手机设置界面,一个名为Website &Passwords的账户入口成为了被攻破的关键。
在测试中,手机的安全机制完全正常。这主要体现在解锁手机和正常点击Website &Passwords时会弹出Face ID、Touch IS或者密码输入框。
该开发人员称:“但是,当我忽略这些输入框并反复点击这一入口时,神奇的事情发生了,我竟然跳过了上述全部的安全机制直接进入了账户界面。”
进入之后,攻击者可以访问机主的密码、账户、电子邮件和用户名,而同样的安全问题也在iPad OS上被发现。
有趣的是,开发人员发现这一Bug的成功激发条件似乎与操作者的点击手速有着某些联系。
“当我以间隔较大的频次点击选项并选择退出安全验证的时候,很少会出现成功登入的情况出现。然而,当我尝试加快频次,并尽量保持准确点击的时候,通常会更快的进入到选项中。”
目前,开发人员还尚不清楚造成这一安全漏洞的原因为何。据猜测,这也许是iOS 13中新加入的一些功能的程序与安全机制决策程序产生冲突,才造成了这样的闹剧。
“当然,除非苹果方面对这件事进行研究并公之于众,否则我们永远无法知晓这个安全漏洞的来历。”
在这之后,开发人员将问题上报了苹果,但并未收到回复。
威胁虽小,仍需谨慎
开发人员称,由于安全漏洞的触发前提是先要解锁设备,因此这次的安全威胁并不大。但同时,如果苹果没有妥善处理这一问题,仍会为用户隐私安全问题带来不必要的麻烦。
安全人员在接受iDeviceHelp记者采访时称,黑客都是一些举一反三的高手。也就是说,一旦设备的这一漏洞被发现,他们总有办法使用一套改进方案来达到自己的目的。
“锁屏并不能保障完全安全,一部苹果手机的ID可以几部机器共用。一些喜欢苹果系统的朋友,平板、电脑、手机都用同一个ID。将旧手机、电脑等处理后,可能没有将手机的个人信息清除,这种情况很容易被懂行的人修改密码。”
不过,上述情况大可不必担心。
最新的iOS和iPad OS公共测试版于7月8日发布,除了安全漏洞,这一测试版本还存在手机续航、APP闪退、玩游戏时手机发热甚至自动重启等问题,苹果称将在iOS 13 beta 4 和 iOS 13 Public Beta 3 中得到解决。
基于苹果的正常更新频率,第四个开发者测试版应该在本周某个时候到来,预计这个BUG会在下个版本被修复。 雷锋网 (公众号:雷锋网) 雷锋网雷锋网
参考来源: appleinsider
。