iOS 8 を搭載した iPhone、iPod touch、iPad デバイスに搭載されている Apple の新しい予測キーボード QuickType には、潜在的に危険な欠陥があり、ソフトウェアがウェブサイトで以前に使用したパスワードの一部を提案するという問題が、フランス語のブログ iGen.fr [Google Translate] で最初に報じられた。
Apple のサポート コミュニティ Web サイトの新しいスレッドには、あるユーザーのメモが掲載されており、そのユーザーは、以前 Outlook Web App にログインするために使用した「OrangeJuice!2」というパスワードを QuickType が記憶していたため、「AppleUser」と入力するたびにキーボードが「OrangeJuice」を候補として表示したと報告しています。
「最悪なのは、他のサービスのパスワードや、すでに変更した古いパスワードも提案されることだ」とニックネーム「ramiroegueta」のユーザーは指摘した。
この潜在的に危険な見落としが、iOS 8デバイス所有者のセキュリティとプライバシーに影響を及ぼすことは間違いありません。理論的には、デバイスを入手してアクセスした人は誰でも、SafariでFacebookやGoogleなどのウェブサイトにアクセスし、QuickTypeを利用して以前使用したパスワードの一部を取得できる可能性があります。
この問題は iOS 8 の Safari に限ったものではなく、メモ、リマインダーなど、標準のテキスト入力を提供するあらゆるアプリのシステム全体に現れます。
Apple が修正プログラムを提供するまでは、 「設定 > 一般 > キーボード」で「予測」をオフにして QuickType を無効にすることで、自分自身を保護できます。
残念ながら、Apple は、長期間キーボードを使用している間に QuickType によって取得されたカスタム単語をユーザーが選択的に削除することを許可していません。
ご使用のデバイスで問題を再現できた場合は、以下のコメント欄で他のユーザーと経験を共有してください。
追記:弊社のテストによると、上記の問題は、パスワードフィールドが適切に使用されていないウェブサイトでユーザーがパスワードを入力し、通常のテキストフィールドとして残した場合に発生するようです。その場合、QuickTypeは、入力した新しい単語と同じようにパスワードを記憶してしまう可能性があります。これはiOS 8の不具合やセキュリティ上の欠陥ではありません。この場合、iOS 8は入力された新しい単語を学習する機能を果たします。この問題は、パスワードフィールドが適切に実装されていないウェブサイトで発生します。例えば、メモアプリでパスワードをプレーンテキストで入力し、QuickTypeがそこからパスワードを学習するのと同じ問題です。
[iGen.fr、Appleディスカッションフォーラム]
