Sicherheitsbug: Gespeicherte Passwörter in iOS 13 Beta ohne Face ID oder Pin zugreifbar

Am 3. Juni stellte Apple zum allerersten Mal iOS 13 der Öffentlichkeit vor und noch am selben Abend erschienen Vorabversionen für Entwickler. Drei Wochen später gab Apple iOS 13, zusammen mit macOS Catalina und iPadOS, auch im Public Beta Program frei, über das Normalanwender Vorabversionen von Apples Betriebssystemen herunterladen können.


Offenbar ist Apple in iOS 13 (und höchstwahrscheinlich auch iPadOS) ein Fehler in der Einstellungs-App unterlaufen. Die Funktion "Passwörter & Accounts" erlaubt es dem Nutzer, alle verwendeten Nutzerkonten oder Passwörter zu verwalten, welche innerhalb Apps oder auf Webseiten verwendet werden.

Geschick notwendig
Die Passwort-Funktion bringt einen erheblichen Mangel in den aktuellen Vorabversionen mit: Normalerweise muss der Nutzer sich per Face ID, Touch ID oder per PIN authentifizieren, um die App- und Webseitenpasswörter anzuzeigen. Wie ein Reddit-Nutzer herausfand, lässt sich dies jedoch umgehen: Tippt man in iOS 13 wiederholt sehr schnell auf den "Website- & App-Passwörter"-Punkt oder bricht die Authentifizierung mit Face ID immer wieder in rascher Folge ab, erscheinen alle Passwörter ohne vorherige Authentifizierung.

Meist sind mehrere Versuche notwendig, um den richtigen Augenblick abzupassen und die Passwort-Liste ohne Authentifizierung zu öffnen. Wahrscheinlich entsteht der Sicherheitsmangel durch die parallele Ausführung mehrerer gleichzeitig gestarteter Authentifizierungsanfragen, welche nicht korrekt von der Einstellungs-App abgearbeitet werden.

Gerät muss entsperrt sein
Zwar handelt es sich um einen Sicherheitsmangel, aber große Panik sollten Tester der aktuellen Beta dennoch nicht haben: Auf die Einstellungs-App lässt sich nur zugreifen, wenn das Gerät bereits entsperrt ist – und nur dann funktioniert der oben beschriebene Trick. Ist das iPhone oder iPad gesperrt, kann die Sicherheitslücke nicht ausgenutzt werden – auf dem Sperrbildschirm scheint das Sicherheitsproblem nicht zu existieren.

Kommentare

nexusle
nexusle16.07.19 09:31
Bugs in einer Public Beta... SKANDAL
Wenn man keine Ahnung hat, einfach mal Klappe halten!
+7
Mendel Kucharzeck
Mendel Kucharzeck16.07.19 09:39
nexusle
Wer hat denn Skandal gebrüllt?
-2
derguteste
derguteste16.07.19 10:10
Hat da jemand zuviel Zeit und klickt sich einfach schnell hintereinander mehrfach durch die Menus bis was unerwartetes passiert oder wie findet man solch eine Vorgehensweise überhaupt?
+1
Mendel Kucharzeck
Mendel Kucharzeck16.07.19 10:22
derguteste
Möglich ist, dass derjenige aus Versehen einen doppelten Tap ausgeführt hat und überrascht war, dass keine Face-ID-Identifizierung kam.
+2
Scrubelicious16.07.19 10:25
Welcome to the world of beta
Don't believe everything on the internet!
+2
Colonel Panic
Colonel Panic16.07.19 10:28
derguteste
Hat da jemand zuviel Zeit und klickt sich einfach schnell hintereinander mehrfach durch die Menus bis was unerwartetes passiert oder wie findet man solch eine Vorgehensweise überhaupt?

Bei einer Beta durchaus sinnvoll, auch mal ungewöhnliche Dinge auszuprobieren. Man will ja die Fehler finden.
+1
johnnytravels
johnnytravels16.07.19 10:33
Brute Force Attack sozusagen

Ich frage mich, warum solche essentiellen Funktionen immer derartig verändert werden, dass dann in neuen Versionen Bugs auftreten. Warum lässt man da nicht alles wie es ist, wenn sich eigentlich sowieso nichts ändern soll? Hat das mit den Veränderungen an iCloud zu tun (Passwörter werden ja darüber synchronisiert), dass hier Veränderungen an der Implementation im System notwendig sind?
‚Tim Cook ist kein Produkt-Mensch.‘ — Steve Jobs
-1
Colonel Panic
Colonel Panic16.07.19 11:54
johnnytravels
Ich frage mich, warum solche essentiellen Funktionen immer derartig verändert werden, dass dann in neuen Versionen Bugs auftreten.

Was an der Oberfläche als eine Funktion erscheint, kann unter der Haube ein Zusammenspiel von (Teil-)Funktionen ganz unterschiedlicher Software-Komponenten sein. Ändert man eine davon (weil es z.B. für irgendein neues Feature notwendig ist), ergeben sich mitunter unerwartete Seiteneffekte.

Manchmal ist es aber auch schlicht und ergreifend Schlamperei.
+2
Eventus
Eventus16.07.19 12:30
Apropos «Website- & App-Passwörter»:

Dass man auch ohne Beta-Bug zu diesen sogar «nur» mittels Gerätecode gelangen kann, weder dort, noch bei der Abschaltung des «Mein iPhone suchen» eine Zwei-Faktor-Authentifizierung stattfindet, ist eine mögliche Sicherheitsschwachstelle.
Live long and prosper! 🖖
-1
ocrho16.07.19 17:00
Tippt man in iOS 13 wiederholt sehr schnell auf den "Website- & App-Passwörter"-Punkt oder bricht die Authentifizierung mit Face ID immer wieder in rascher Folge ab, erscheinen alle Passwörter ohne vorherige Authentifizierung.
Ich verstehe nicht, wie so ein "Fehler durch künstliche Überlast" entstehen kann. Normaler Programmcode fragt einen Zustand ab. Und wenn eine negative Antwort kommt, dann passiert nichts. Aber keine Antwort in einer bestimmten Zeit, darf nicht als "ok" ausgewertet werden. So eine seltsame Multitasking-Logik erzeugt kein Vertrauen.
+1

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.

OK MacTechNews.de verwendet Cookies unter anderem für personalisierte Inhalte, Seitenanalyse und bei der Auslieferung von Google-Anzeigen. Dies war zwar schon immer so, auf Wunsch der EU muss nun jedoch explizit darauf hingewiesen werden. Durch Nutzung der Website erklären Sie sich damit einverstanden. Weitere Informationen