Dan Pražák Provar les versions beta dels sistemes té costats brillants i foscos. És temptador provar totes les funcions noves abans de publicar-se, però d'altra banda, els provadors i els desenvolupadors estan exposats al risc de greus errors de seguretat. No és el cas d'Apple i dels seus nous sistemes iOS 13 i iPadOS, on s'ha descobert un error que permet visualitzar totes les contrasenyes, correus electrònics i noms d'usuari emmagatzemats al dispositiu sense necessitat d'autorització.
L'error afecta els usuaris que utilitzen la funció Keychain al seu iPhone o iPad. Això us permet desar totes les contrasenyes desades i, posteriorment, ofereix la funció d'emplenament i sessió automàtica a aplicacions i llocs web després de l'autenticació de l'usuari mitjançant Touch ID o Face ID.
Podria ser t'interessa
Petr Škuta També es poden veure les contrasenyes, els noms d'usuari i els correus electrònics desats Configuració, a la secció Contrasenyes i comptes, concretament després de fer clic a l'element Contrasenyes de llocs web i aplicacions. Aquí, tot el contingut emmagatzemat es mostra a l'usuari després de l'autenticació adequada. Tanmateix, en el cas d'iOS 13 i iPadOS, l'autenticació mitjançant Face ID/Touch ID es pot evitar fàcilment.
L'explotació de l'error no és gens complicat, només cal que feu clic repetidament a l'element esmentat després de la primera autorització sense èxit i, després de diversos intents, el contingut quedarà completament escrit. Es pot trobar una mostra del procediment descrit al vídeo del canal adjunt a continuació iDeviceHelp, qui va descobrir l'error. Després de la pirateria, estan disponibles tant la cerca com la visualització d'informació sobre a quin lloc web/servei/aplicació s'ha assignat el nom d'usuari i la contrasenya.
Tanmateix, cal tenir en compte que els errors només es poden explotar si el dispositiu ja està desbloquejat. Per tant, si teniu instal·lat iOS 13 o iPadOS i presteu el vostre iPhone o iPad a algú, no deixeu el dispositiu sense vigilància. Al cap i a la fi, per això estem assenyalant l'error, de manera que vosaltres, com a provadors de nous sistemes, tingueu molta cura.
Apple hauria d'apressar la solució en una de les properes versions beta. No obstant això, un dels assistents al servidor 9to5mac assenyala que Apple ja va assenyalar l'error durant les proves de la primera beta i, tot i que els enginyers van demanar informació detallada, no van poder solucionar-ho fins i tot després de més d'un mes.
Apple adverteix a tots els desenvolupadors i provadors que participen en el seu programa de proves del sistema que les versions beta poden contenir errors. Per tant, qualsevol persona que instal·li iOS 13, iPadOS, watchOS 6, tvOS 13 i macOS 10.15 ha de tenir en compte una possible amenaça de seguretat. Per aquest motiu, Apple desaconsella fermament la instal·lació de sistemes per fer proves en un dispositiu principal.
