本周,苹果发布了最新操作系统iOS 13和iPadOS,但在几天后,该公司就警告用户iOS 13系统存在漏洞,可让第三方键盘应用获得对系统的完全访问权限(即使用户拒绝)。
具体来说,第三方键盘扩展可以捕获用户在设备上通过键盘输入的所有内容。
苹果iOS中的第三方键盘应用既可在不访问外部服务的情况下运行,也可接受外部请求来执行额外的操作。苹果宣布将立刻发布安全补丁来修复这一漏洞,这家科技巨头强调,这个漏洞并不会影响苹果的内置键盘。
在苹果发布的安全建议写道:“苹果在iOS 13和iPadOS中发现了一个漏洞,即使没有得到用户的许可,第三方键盘应用也能具有完全访问权限。这个漏洞并不会影响苹果的内置键盘,并将在即将到来的软件更新中得到解决。”
在iOS上,第三方键盘应用可以完全独立运行,不需要访问外部服务,通常来说,除非你授予“完全访问”权限,让应用通过网络服务启用一些附加功能,否则禁止应用存储键盘输入的内容。
这个漏洞也会影响运行第三方键盘应用的设备,比如流行的Gboard、Grammarly和Swiftkey,它们都要求具有完全访问权限。
用户可以通过以下步骤查看已安装的第三方键盘应用程序:
打开
设置
选项。转到
通用
>键盘
>键盘
。
用户可以通过临时卸载设备上的所有第三方键盘来防御这个攻击。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://securityaffairs.co/wordpress/91752/breaking-news/ios-13-bug.html