Comments 26
Желтизна…
1. если мне не изменяет память, то passcode должен отличаться от экрана разблокировки
2. если пользуетесь touchid — то установка passcode обязательна
3. многие пользователи свой passcode даже не помнят, а вы утверждаете, что его знает злоумышленник
4. и это явно не проблема apple, что разработчики пишут не секьюрный код
1. если мне не изменяет память, то passcode должен отличаться от экрана разблокировки
2. если пользуетесь touchid — то установка passcode обязательна
3. многие пользователи свой passcode даже не помнят, а вы утверждаете, что его знает злоумышленник
4. и это явно не проблема apple, что разработчики пишут не секьюрный код
- passcode = пароль разблокировки iPhone
- да, но в ряде ситуаций обычные люди не уделяют достаточно внимания защите пароля. У многих, кто пользуется iPhone с ранних моделей это всего 4 цифры и набирают его достаточно часто, и сообщают другим. Я не говорю про опытных разработчиков.
- все помнят. Touch ID отключается, т.к. есть ограничения:
- если устройство было недавно перезагружено;
- если отпечаток пальца не был распознан пять раз подряд;
- если устройство не разблокировалось в течение более 8 часов;
- если passcode не был использован в течении 6 дней;
- если вы пытаетесь открыть вкладку «Touch ID и пароль» в меню «Настройки».
- скорее ответственность за это в той или иной мере распределена между разработчиками и Apple. Разработчики не в курсе метода защиты. Слово kSecAccessControlTouchIDCurrentSet гугл находит всего 96 страниц по всему интернету.
1. к сожалению, вот прям сейчас у меня не работает на телефоне тач, но тогда вы путаете момент, что для установки touchid необходим не passcode, а новый отдельный код на доступ именно к меню.
2. ввиду отличий этих кодов из п.1, данный пункт не актуален…
3. ввиду отличий этих кодов из п.1, данный пункт не актуален…
4. разработчики пишут приложения, читают документацию… тут полемика из серии «я напишу троян/вирус/т.п., а во всем виноват <подставить любого производителя железа/софта>»
2. ввиду отличий этих кодов из п.1, данный пункт не актуален…
3. ввиду отличий этих кодов из п.1, данный пункт не актуален…
4. разработчики пишут приложения, читают документацию… тут полемика из серии «я напишу троян/вирус/т.п., а во всем виноват <подставить любого производителя железа/софта>»
Я не говорю, что для настройки нового пальца нужен отдельный пароль, хотя удостовериться в том, что палец принадлежит владельцу было бы логично, просто запросив пароль от iCloud. Но, этого не происходит. Поэтому каждый, кто знает passcode (или если он не установлен — есть и такие люди), может добавить новый отпечаток, который сработает в приложениях.
Чтобы войти в меню безопасности и добавить новый палец у меня телефон запрашивает отдельный passcode на данное меню, которое отличается от passcode на разблокировке экрана.
Для доступа к настройке Touch ID или passcode нужен passcode, а не что-либо другое.
https://support.apple.com/en-us/HT201304
Эти ограничения не играют значения в контексте проблемы. Это родительский контроль. Вы не заблокируете приложение хранителя паролей например (только если по возрастному ограничению), или не ограничите «паролем ограничений» смену или отключение passcode и добавление отпечатка.
Попробуйте протестировать описанный в посте метод.
Попробуйте протестировать описанный в посте метод.
да, на Ограничения — отдельный пароль, но предотвратить смену пасскода или настройку тач айди через ограничения пока что нельзя…
В iphone есть только один passcode. Ну или скажите же где это вы настраиваете их два?
Эм, что-то я не понял — как, не зная passcode от системы смогли разблокировать айфон и добавить новый отпечаток в систему? На видео что-то странное — телефон сам не заблокирован, а только приложения отдельные. Может, конечно, это в последней версии iOS так, но у меня пароль или отпечаток защищают всю систему, без возможности зайти куда-либо. А отдельные приложения я «защищаю» отдельным твиком (джейлбрейк).
статья выглядит как желтый пиар…
Уязвимость работает в случаях, когда злоумышленнику известен пароль от iPhone либо пароль не установлен. Существуют ситуации, когда вы сообщаете свой пароль другим, ради удобства, либо его не составляет труда подсмотреть. На видео пароль снят, т.к. очевидно он был известен автору видео. Но это не значит, что в такой ситуации доступ должен быть открыт к приложениям. Пароль от iPhone защищает одну сущность, а приложения защищают уже свои интересы — у кого-то двухфакторная авторизация, у кого-то ее вовсе нет. Но если она есть, она не должна преодолеваться вот так просто.
То есть это не столько массовая уязвимость, а лишь относительно редкий случай, когда «злоумышленнику известен пароль» или когда «пароль не установлен» (это вообще странно). Говоря проще, «когда юзер забил на свою безопасность» — разработичики софта тут вряд ли виноваты и едва смогут полностью защитить такого пользователя.
«Массовая» означает, что этой уязвимости подвержены тысячи приложений и сотни миллионов их пользователей. Из 100%, кто подвержен этой проблеме, шанс реализоваться у нее, конечно, состоит в доле процента. Если разработчики позаботятся о защите, то этой доли не будет вообще.
Метод защиты есть в посте, он работает. Проведите эксперимент.
Метод защиты есть в посте, он работает. Проведите эксперимент.
По моему достаточно стремный момент. У меня на банк-клиентах отдельный пароль (passcode или палец) никогда не использую, но вот если бы…
То достаточно посмотреть ваш passcode и украсть телефон и можно в банк клиенте делать какие угодно переводы денег, пароль от банклиента заменяется пальцем, смски подтверждений падают на телефон…
То достаточно посмотреть ваш passcode и украсть телефон и можно в банк клиенте делать какие угодно переводы денег, пароль от банклиента заменяется пальцем, смски подтверждений падают на телефон…
либо пароль не установлен
Touch ID не работает без пароля.
Спасибо за информацию. Действительно, клиент-банк лучше защищать банальным (но отдельным и отличным от пасскода) пин-кодом. (Точнее, выбирать такой вариант пока баг не устранили).
Бред же, что бы добавить новый отпечаток = нужно знать пароль от устройства, не передаём пароль никому и будет всё хорошо
Ну вот от тебя не ожидал, не передаем, не значит, что его нельзя подсмотреть.
Существует правильный метод защиты, но повсеместно не используется разработчиками и пропускается на модерации приложений в AppStore.
Вот, что думает по этому поводу appleinsider в своем подкасте
Существует правильный метод защиты, но повсеместно не используется разработчиками и пропускается на модерации приложений в AppStore.
Вот, что думает по этому поводу appleinsider в своем подкасте
Нет ну я правда не вижу проблемы :) пароль пол зевательных iOS вводит КРАЙНЕ редко, ну а если считать это багом, то на уровне системы надо делать селектор сбрасывать ли авторизацию в приложениях или нет.
+о надомунности проблемы — если девайс перезагружается, то приложения просят пароль а потом уже разрешают Touch ID
+о надомунности проблемы — если девайс перезагружается, то приложения просят пароль а потом уже разрешают Touch ID
Sign up to leave a comment.
Распространенная уязвимость в приложениях с Touch ID