#安全资讯 立即升级：Proton Authenticator  for iOS 版出现严重安全漏洞，会以明文形式记录 TOTP 密钥到日志。好消息是日志并不会发送到 Proton 服务器而是仅限本地调试，因此用户不主动分享日志的话那不会有安全风险。查看全文：https://ourl.co/110074

如果你使用 Proton Authenticator for iOS 版请立即转到 Apple App Store 更新并升级到最新版本，旧版本中存在某个严重的安全漏洞，会以明文形式将 TOTP 密钥转储到日志中可能会暴露多因素身份验证代码。

Proton Authenticator 是加密邮件提供商 Proton 在上周刚刚推出的免费身份验证器，该验证器支持数据同步且使用端到端加密保护数据，广泛支持各种平台因此目前还是非常受欢迎的。

不过 Reddit 网友在使用 iOS 版时发现其严重安全漏洞，网友在设置的日志下检查调试内容时发现 Proton Authenticator 竟然以明文形式暴露 TOTP 密钥，如果日志被共享则可能泄露多因素身份验证代码。

这个漏洞的原因则是 iOS 版 Proton Authenticator 将大量有关 TOTP 条目的数据添加到 params 变量中，然后又将变量传递给用于在应用程序里添加或更新 TOTP 的两个函数。

网友将漏洞报告给 Proton 后得到确认，日前 Proton 已经发布 Proton Authenticator  1.1.1 版修复这个错误，所以用户应当前往应用商店更新到最新版本确保安全。

此次漏洞潜在影响并不是非常大，主要是 Proton Authenticator 的数据仍然是端到端加密的，在本地解密后才能看到明文内容，因此在服务器上的数据依然是加密的不会出现明文。

除非用户主动将日志分享给其他人或者保存到网盘，否则日志内容不会泄露，这部分调试日志也不会上传到 Proton 的服务器，Proton 称如果有人拿到用户设备并成功解锁，那才有可能暴露风险。