Proton近日修复了其新推出的Authenticator iOS版应用中存在的一项安全漏洞,该漏洞导致用户多因素认证(TOTP)密钥以明文形式被记录在本地日志中,存在敏感信息被泄露的风险。有用户反馈称,在启用2FA账户备份与同步功能并操作条目标签后,发现部分认证信息消失。在检查应用日志时,发现TOTP密钥竟然以明文方式被完整记录,包括Bitwarden等账户的认证密钥。
Proton对此做出回应,确认问题仅影响iOS版应用,并于1.1.1版本中修复,现已推送至App Store。官方表示所有同步操作均采用端到端加密,日志文件仅存储于本地设备,并未传送至服务器,用户仍需确保自身设备的安全。Proton同时澄清这是记录机制上的失误,而非可被远程利用的严重漏洞。