Звичайна функція копіювання-вставки в iPhone може призвести до витоку конфіденційних даних

Оновлення, 23 червня 2020 року: Станом на Всесвітню конференцію розробників Apple 2020 року, про яку повідомлялося тут, помилка, про яку йдеться, схоже, виправлена. Томмі Майск повідомив Digital Trends, що Apple виправила проблему відповідно до його рекомендацій: додавши оповіщення, коли додаток читає буфер обміну. Apple не відповіла на запит про коментарі.

• Перевірка їх теорії
• Apple відповідає

Оригінальний текст: Два розробники програмного забезпечення, один з яких базується в Канаді, а інший – в Німеччині, стверджують, що вони виявили недолік в системі копіювання і вставки в iOS від Apple, який може зробити інформацію користувачів iPhone і iPad вразливою.

Наразі Apple припускає, що коли ви копіюєте інформацію з програми, наступна програма, яку ви відкриваєте, буде тим додатком, куди ви хочете вставити цю інформацію. Таким чином, Apple надає активному додатку, який працює на передньому плані вашого телефону, доступ до “дошки оголошень” операційної системи, яка, по суті, є короткочасною пам’яттю для всього скопійованого вами матеріалу.

Проблема, як зазначають Томмі Майск і Талал Хадж Бакрі, полягає в тому, що люди відволікаються і відкривають додатки до того, як вставити інформацію в потрібний додаток. Можливо, вони отримують сповіщення, або раптом згадують про щось інше, що мають зробити, і забувають про те, що щойно скопіювали (тривалість уваги в наші дні, як відомо, дуже коротка).

Ви багато копіюєте на своєму iPhone та iPad? Що ж, ми задокументували, як шкідлива програма може викрасти ваші особисті дані з буфера обміну. @Apple не вважає це проблемою!

А ви як вважаєте?

Читайте повну версію статті за посиланням https://t.co/IzHClZxFw1 pic.twitter.com/Y1eXHNs8qM

Mysk (@mysk_co) 24 лютого 2020 р.

Майск і Бакри стверджують, що кожен додаток, який користувач відкриває на iPhone, матиме доступ до вашої дошки, і навіть зможе писати або переписувати на ній. Це також стосується будь-яких віджетів, які користувачі Apple запускають на своїх панелях “Сьогоднішній день” на своїх телефонах або iPad – вони також можуть бачити вашу дошку.

“Він може прочитати все, що у мене є в папці: Фотографії, PDF-файли, тексти, паролі і будь-який тип даних, який ви можете скопіювати”, – розповів Майск в інтерв’ю Digital Trends. “Це відкриття мене шокувало. Це стало причиною, яка підштовхнула мене написати демо-додаток, задокументувати роботу і відправити його в Apple”.

Перевірка їх теорії

Для демонстрації функції Майск і Бакри написали додаток під назвою Klipboard Spy. Вони продемонстрували, як копіювання фотографії робить метадані фотографії доступними для Klipboard Spy, включаючи місце, де була зроблена фотографія.

Якщо ви скопіюєте пароль, номер чийогось банківського рахунку або будь-яку іншу вразливу особисту інформацію, інші програми можуть побачити цю інформацію – програми, які ви не обов’язково хотіли б мати такий доступ. Зловмисник, маючи достатню швидкість, теоретично може переписати інформацію про банківський рахунок, збережену в операційній системі, і перенаправити гроші на інший рахунок.

Скажімо, гіпотетично, на вашому телефоні є популярний додаток, який має певні тіньові зв’язки з певним іноземним урядом, і на шляху між копіюванням фотографії та відправленням цієї фотографії своєму другові ви відкриваєте інший додаток – цей додаток зможе побачити, де ви були через метадані цієї фотографії.

Це також стосується так званого “Універсального буфера обміну”, який, як пояснив Майск, є спільним буфером обміну, доступним для всіх пристроїв Apple, які використовують один і той же Apple ID. Якщо на передньому плані вашого телефону запущено шкідливий додаток і ви копіюєте щось на комп’ютері, додаток може бачити, що ви вставляєте на свій комп’ютер.

Остання версія iPadOS дозволяє користувачеві налаштувати панель віджетів так, щоб вона завжди була видимою. Це означає, що вона завжди активна, і ці програми можуть бачити ваші копіпасти на всіх ваших пристроях, які пов’язані з вашим Apple ID. “Якщо у вас є шкідливий віджет на верхній панелі Today View, він завжди зможе зчитувати вставку кожного разу, коли ви виходите з програми”, – сказав Майск.

“Я не можу зрозуміти, чому віджет повинен мати доступ до буфера обміну. Я впевнений, що є хороші сценарії, але як експерт з безпеки, я б не дозволив цього для початку – принаймні, не без інформування користувача”, – сказав Майск.

Apple відповідає

Apple не відповіла на запит про коментар, але, за словами Миська, 2 січня він направив офіційне повідомлення в Apple про те, що він і його партнер Хадж Бакрі виявили цей недолік. Apple відповіла 6 лютого і, за словами Майска, повідомила, що їхня оцінка дійшла висновку про відсутність ризиків і запропонувала кілька рішень. Майск не став розкривати подробиці обміну думками з Apple, але він вважає, що їхні ідеї були в кращому випадку мізерними.

“Ми представили численні приклади методів функціонування, які створюють середовище для зловживання даними будь-яким зловмисником”, – сказав Майск. Вони надали засоби захисту, які є недбалими і не вирішують проблему”.

Проблема полягає в тому, що налаштування, які уможливлюють витік даних, часто є налаштуваннями за замовчуванням, про які більшість користувачів не знають або не турбуються про їх зміну, сказав Майск. “Чому б нам не змінити політику з “довіряти розробникам” на “користувач контролює все”?”, – запитав він.

Наприклад, продовжив він, користувач може відключити універсальний буфер обміну, якщо знає, як це зробити. “Але він активований за замовчуванням, і більшість користувачів не переймаються тим, щоб його вимкнути”, – додав він.

Хороша новина полягає в тому, що людина може пом’якшити багато з цього, просто відключивши розташування на фотографіях і будучи вибагливим до того, які програми відкриті. Але Майск хотів, щоб Apple взяла на себе більше відповідальності.

Він вказав на той факт, що Apple змінила свої дозволи для контактів і фотографій; раніше всі додатки на телефоні мали доступ до них за замовчуванням, але тепер користувач повинен активно давати дозвіл. Майск сказав, що хотів би бачити аналогічні дозволи для дошки оголошень, а також візуальний індикатор того, що додаток може бачити дошку оголошень, подібний до стрілки місцезнаходження, яку користувач бачить, коли додаток використовує ваше місцезнаходження.

Рекомендації редакції

• Як iPhone 14 Plus став одним з найбільших технологічних провалів 2022 року
• У 2023 році Apple повинна виправити свій ганебний ліміт в 5 ГБ в iCloud
• Що таке Amazon Music: все, що потрібно знати
• Фотографічні стилі – це найбільш недооцінена функція камери iPhone 14, яку ви не використовуєте
• Ця прихована функція iOS 16 перетворила мій iPhone в ідеальний гаджет для пошуку музики

Source: digitaltrends.com