現在開発者やApple Beta Software Program向けにリリースされているiOS 13 betaで、パスワードの自動入力に保存されているパスワードやユーザー名などの情報をFace ID/Touch IDの認証を無視して表示できるバグが見つかりました。
目次
Face ID/Touch ID認証を無視してパスワードにアクセス
iOS 13 betaでは、設定→パスワードとアカウント→WebサイトとAppのパスワードで、デバイスやiCloudキーチェーンに保存されたユーザー名やパスワードを確認できます。
備考
iOS 13だけでは無く、iOS 12でも同様の手順で保存されているパスワードやユーザー名を確認できます。
デバイスやiCloudキーチェーンに保存されているパスワードやユーザー名を確認する場合、本来はFace ID/Touch IDによる認証が必要となりますが、iOS 13 betaではWebサイトとAppのパスワードを繰り返しタップすると、認証を無視して表示することができてしまいます。
備考
問題を再現しているシーンは1分57秒あたりから。
こちらの不具合を再現する場合、前提としてはデバイスのパスコードロックを解除する必要があるため、第三者に悪用される恐れは低いものの、セキュリティ上は好ましくありません。
既にAppleにフィードバックが送信済み
今回の不具合の出処でもあるredditの投稿では、不具合の再現ができた複数人が既にフィードバックを送信しているとのことなので、今後のbetaアップデートで改善されるかと思います。
もしメイン機と共通のApple IDでiOS 13 betaを使用している場合は、改善までは端末の管理に注意した方が良さそうです。(ロック解除状態のまま放置しない等)
Source:reddit
コメント(承認制)