【iPhone】iOS 13 betaで自動保存パスワードを認証無しで表示できる不具合

現在開発者やApple Beta Software Program向けにリリースされているiOS 13 betaで、パスワードの自動入力に保存されているパスワードやユーザー名などの情報をFace ID/Touch IDの認証を無視して表示できるバグが見つかりました。

Face ID/Touch ID認証を無視してパスワードにアクセス

iOS 13 betaでは、設定→パスワードとアカウント→WebサイトとAppのパスワードで、デバイスやiCloudキーチェーンに保存されたユーザー名やパスワードを確認できます。

備考

iOS 13だけでは無く、iOS 12でも同様の手順で保存されているパスワードやユーザー名を確認できます。

デバイスやiCloudキーチェーンに保存されているパスワードやユーザー名を確認する場合、本来はFace ID/Touch IDによる認証が必要となりますが、iOS 13 betaではWebサイトとAppのパスワードを繰り返しタップすると、認証を無視して表示することができてしまいます。

備考

問題を再現しているシーンは1分57秒あたりから。

こちらの不具合を再現する場合、前提としてはデバイスのパスコードロックを解除する必要があるため、第三者に悪用される恐れは低いものの、セキュリティ上は好ましくありません。

今回の不具合の出処でもあるredditの投稿では、不具合の再現ができた複数人が既にフィードバックを送信しているとのことなので、今後のbetaアップデートで改善されるかと思います。

もしメイン機と共通のApple IDでiOS 13 betaを使用している場合は、改善までは端末の管理に注意した方が良さそうです。（ロック解除状態のまま放置しない等）

Source:reddit