Dan Pražák Het testen van bètaversies van systemen kent zowel positieve als donkere kanten. Het is verleidelijk om alle nieuwe functies uit te proberen voordat ze worden uitgebracht, maar aan de andere kant staan testers en ontwikkelaars bloot aan het risico van ernstige beveiligingsfouten. Dit is niet het geval bij Apple en zijn nieuwe iOS 13- en iPadOS-systemen, waar een bug is ontdekt waarmee je zonder autorisatie alle wachtwoorden, e-mails en gebruikersnamen die op het apparaat zijn opgeslagen, kunt bekijken.
De fout treft gebruikers die de sleutelhangerfunctie op hun iPhone of iPad gebruiken. Hiermee kunt u alle opgeslagen wachtwoorden opslaan en biedt u vervolgens de functie van automatisch invullen en inloggen bij applicaties en websites na gebruikersauthenticatie via Touch ID of Face ID.
Het zou kunnen interesseer je
Petr Skuta Opgeslagen wachtwoorden, gebruikersnamen en e-mails kunnen ook worden bekeken in afstelling, in de sectie Wachtwoorden en accounts, vooral nadat u op het item hebt geklikt Website- en applicatiewachtwoorden. Hier wordt alle opgeslagen inhoud na de juiste authenticatie aan de gebruiker weergegeven. In het geval van iOS 13 en iPadOS kan authenticatie via Face ID/Touch ID echter eenvoudig worden omzeild.
Het misbruiken van de fout is helemaal niet ingewikkeld, u hoeft alleen maar herhaaldelijk op het genoemde item te klikken na de eerste mislukte autorisatie en na verschillende pogingen wordt de inhoud volledig uitgeschreven. Een voorbeeld van de beschreven procedure is te vinden in de video van het onderstaande kanaal iDeviceHelp, die de fout heeft ontdekt. Na het hacken is zowel het zoeken als het weergeven van informatie over aan welke website/dienst/applicatie de opgegeven gebruikersnaam en wachtwoord zijn toegewezen beschikbaar.
Er moet echter worden opgemerkt dat de bugs alleen kunnen worden uitgebuit als het apparaat al ontgrendeld is. Als u iOS 13 of iPadOS hebt geïnstalleerd en u uw iPhone of iPad aan iemand uitleent, laat het apparaat dan ook niet onbeheerd achter. Daarom wijzen wij u op de fout, zodat u als testers van nieuwe systemen extra voorzichtig kunt zijn.
Apple zou de oplossing in een van de volgende bètaversies moeten haasten. Wel een van de discussianten op de server 9to5mac merkt op dat Apple al op de fout wees tijdens het testen van de eerste bèta, en hoewel de ingenieurs om gedetailleerde informatie vroegen, konden ze deze zelfs na meer dan een maand niet repareren.
Apple waarschuwt alle ontwikkelaars en testers die deelnemen aan het systeemtestprogramma dat bètaversies fouten kunnen bevatten. Iedereen die iOS 13, iPadOS, watchOS 6, tvOS 13 en macOS 10.15 installeert, moet dus rekening houden met een mogelijk veiligheidsrisico. Om deze reden raadt Apple ten zeerste af om testsystemen op een primair apparaat te installeren.
