Dan Pražák Testar versões beta de sistemas tem lados positivos e negativos. É tentador testar todos os novos recursos antes de serem lançados, mas por outro lado, testadores e desenvolvedores estão expostos ao risco de graves falhas de segurança. Este não é o caso da Apple e dos seus novos sistemas iOS 13 e iPadOS, onde foi descoberto um bug que permite visualizar todas as palavras-passe, e-mails e nomes de utilizador armazenados no dispositivo sem necessidade de autorização.
O erro afeta usuários que usam o recurso Keychain em seus iPhone ou iPad. Isso permite salvar todas as senhas salvas e posteriormente oferece a função de preenchimento e login automático em aplicativos e sites após autenticação do usuário via Touch ID ou Face ID.
Poderia ser Interessa você
Petr Škuta Senhas, nomes de usuário e e-mails salvos também podem ser visualizados em Configurações, na seção Senhas e contas, especificamente depois de clicar no item Senhas de sites e aplicativos. Aqui, todo o conteúdo armazenado é exibido ao usuário após a autenticação apropriada. No entanto, no caso do iOS 13 e iPadOS, a autenticação via Face ID/Touch ID pode ser facilmente contornada.
Explorar o erro não é nada complicado, basta clicar repetidamente no item mencionado após a primeira autorização sem sucesso, e após várias tentativas o conteúdo será totalmente escrito. Uma amostra do procedimento descrito pode ser encontrada no vídeo do canal anexado abaixo Ajuda do iDevice, quem descobriu o erro. Após o hacking, ficam disponíveis a pesquisa e a exibição de informações sobre a qual site/serviço/aplicativo o nome de usuário e a senha fornecidos.
Porém, deve-se ressaltar que os bugs só podem ser explorados se o aparelho já estiver desbloqueado. Portanto, se você tem o iOS 13 ou iPadOS instalado e empresta seu iPhone ou iPad para alguém, não deixe o aparelho sem vigilância. Afinal, é por isso que estamos apontando o erro – para que vocês, como testadores de novos sistemas, tomem cuidado redobrado.
A Apple deve apressar a correção em uma das próximas versões beta. No entanto, um dos debatedores no servidor 9to5mac observa que a Apple já apontou o erro durante os testes do primeiro beta e, embora os engenheiros tenham solicitado informações detalhadas, não conseguiram corrigi-lo mesmo depois de mais de um mês.
A Apple alerta todos os desenvolvedores e testadores que participam de seu programa de testes de sistema que as versões beta podem conter erros. Qualquer pessoa que instale iOS 13, iPadOS, watchOS 6, tvOS 13 e macOS 10.15 deve, portanto, enfrentar uma possível ameaça à segurança. Por esse motivo, a Apple desaconselha a instalação de sistemas para teste em um dispositivo primário.
