iOS хранит ваши данные после удаления приложений. Разве это безопасно?

Александр
iOS 14

Пользователь Reddit с ником redmolecule обратил внимание на одну интересную особенность iOS 14. Он установил приложение 9GAG, залогинился, а потом удалил его и переустановил заново, после чего смог зайти в свой аккаунт уже без ввода пароля.

Можно было бы посчитать это багом или серьёзной уязвимостью безопасности, но на деле всё так и было задумано. Дело в том, что iOS 14 сохраняет информацию из приложений в специальный раздел памяти, где она хранится на тот случай, если пользователь решит вновь вернуться к тому или иному приложению после его удаления.

Приложения могут хранить пользовательскую информацию в облаке пользователя, для этого в iCloud предусмотрены разделы Cloud Sync и iCloud Keychain. При желании разработчики могут прибегнуть к более безопасному методу хранения непосредственно на устройстве пользователя. Данные оттуда автоматически подхватятся при переустановке приложения, но только на том устройстве, на котором это приложение было установлено изначально. В случае с облачным хранением пользовательских идентификаторов злоумышленник после взлома аккаунта или устройства в теории может залогиниться в чужие аккаунты.

Идентификационные данные почти занимают очень мало места в памяти, в них в зашифрованном виде содержатся хэши логина, пароля и нескольких уникальных идентификаторов. Не стоит опасаться, что из-за них не останется места в накопителе и пытаться удалить их. Тем более, что эти данные исчезают только после полного сброса смартфона к заводским настройкам.
7
iGuides в Яндекс.Дзен —  zen.yandex.ru/iguides.ru
iGuides в Telegram — t.me/igmedia

Будь в курсе последних новостей из мира гаджетов и технологий

Мы в соцсетях

Комментарии

Ikarus
+662
Это полный Security Fail. Удивительно как Apple такое допустила.
12 февраля 2021 в 01:21
#
+36
“Идентификационные данные почти занимают очень мало места в памяти”
Да уж...
12 февраля 2021 в 08:33
#
+1035
Жесть какая-то(
12 февраля 2021 в 11:56
#
+108
Довольно смешно, что об этом говорят сейчас. KeyChain уже много лет как существует, возможность сохранять данные авторизации была у разработчиков очень долго — ваши пароли же где-то хранятся, которые запоминает тот же сафари — и никто не переживает. Эти пароли ещё и между устройствами синхронизируются. Ещё 4 года назад делал сохранение аккаунта после перестановки, притом есть возможность сохранять всё это в icloud, чтобы авторизовались на одном — получили авторизацию сразу на всех устройствах. Очень удобно, как по мне. Сейчас в компании то же самое делаем, только без авторизации на нескольких устройствах.
12 февраля 2021 в 12:18
#
sponame
+238
Поддерживаю.
У меня пароль от ВК давно утерян и номер к которому привязан аккаунт уже не существует. И каждый раз восстанавливаясь из резервной копии, ВК не спрашивает пароль. Возможно это не безопасно, но очень удобно.
12 февраля 2021 в 23:36
#