Am 3. Juni stellte Apple zum allerersten Mal iOS 13 der Öffentlichkeit vor und noch am selben Abend erschienen Vorabversionen für Entwickler. Drei Wochen später gab Apple iOS 13, zusammen mit macOS Catalina und iPadOS, auch im Public Beta Program frei, über das Normalanwender Vorabversionen von Apples Betriebssystemen herunterladen können.


Offenbar ist Apple in iOS 13 (und höchstwahrscheinlich auch iPadOS) ein Fehler in der Einstellungs-App unterlaufen. Die Funktion "Passwörter & Accounts" erlaubt es dem Nutzer, alle verwendeten Nutzerkonten oder Passwörter zu verwalten, welche innerhalb Apps oder auf Webseiten verwendet werden.

Geschick notwendig
Die Passwort-Funktion bringt einen erheblichen Mangel in den aktuellen Vorabversionen mit: Normalerweise muss der Nutzer sich per Face ID, Touch ID oder per PIN authentifizieren, um die App- und Webseitenpasswörter anzuzeigen. Wie ein Reddit-Nutzer herausfand, lässt sich dies jedoch umgehen: Tippt man in iOS 13 wiederholt sehr schnell auf den "Website- & App-Passwörter"-Punkt oder bricht die Authentifizierung mit Face ID immer wieder in rascher Folge ab, erscheinen alle Passwörter ohne vorherige Authentifizierung.

Meist sind mehrere Versuche notwendig, um den richtigen Augenblick abzupassen und die Passwort-Liste ohne Authentifizierung zu öffnen. Wahrscheinlich entsteht der Sicherheitsmangel durch die parallele Ausführung mehrerer gleichzeitig gestarteter Authentifizierungsanfragen, welche nicht korrekt von der Einstellungs-App abgearbeitet werden.

Gerät muss entsperrt sein
Zwar handelt es sich um einen Sicherheitsmangel, aber große Panik sollten Tester der aktuellen Beta dennoch nicht haben: Auf die Einstellungs-App lässt sich nur zugreifen, wenn das Gerät bereits entsperrt ist – und nur dann funktioniert der oben beschriebene Trick. Ist das iPhone oder iPad gesperrt, kann die Sicherheitslücke nicht ausgenutzt werden – auf dem Sperrbildschirm scheint das Sicherheitsproblem nicht zu existieren.