Пользователь Reddit с ником redmolecule обратил внимание на одну интересную особенность iOS 14. Он установил приложение 9GAG, залогинился, а потом удалил его и переустановил заново, после чего смог зайти в свой аккаунт уже без ввода пароля.
Можно было бы посчитать это багом или серьёзной уязвимостью безопасности, но на деле всё так и было задумано. Дело в том, что iOS 14 сохраняет информацию из приложений в специальный раздел памяти, где она хранится на тот случай, если пользователь решит вновь вернуться к тому или иному приложению после его удаления.
Приложения могут хранить пользовательскую информацию в облаке пользователя, для этого в iCloud предусмотрены разделы Cloud Sync и iCloud Keychain. При желании разработчики могут прибегнуть к более безопасному методу хранения непосредственно на устройстве пользователя. Данные оттуда автоматически подхватятся при переустановке приложения, но только на том устройстве, на котором это приложение было установлено изначально. В случае с облачным хранением пользовательских идентификаторов злоумышленник после взлома аккаунта или устройства в теории может залогиниться в чужие аккаунты.
Идентификационные данные почти занимают очень мало места в памяти, в них в зашифрованном виде содержатся хэши логина, пароля и нескольких уникальных идентификаторов. Не стоит опасаться, что из-за них не останется места в накопителе и пытаться удалить их. Тем более, что эти данные исчезают только после полного сброса смартфона к заводским настройкам.