Обычная функция копирования и вставки вашего iPhone может привести к утечке конфиденциальных данных

Обновление, 23 июня 2020 г .: По состоянию на На Всемирной конференции разработчиков Apple 2020 года ошибка, о которой здесь сообщается, по-видимому, исправлена. Томми Мыск сказал Digital Trends, что Apple исправила проблему в соответствии с его рекомендациями: добавив предупреждение, когда приложение прочитало их буфер обмена. Apple не ответила на запрос о комментарии.

Исходный текст:
Два разработчика программного обеспечения, один из Канады, а другой в Германии, говорят, что они обнаружили недостаток в системе копирования и вставки iOS от Apple, который может сделать информацию пользователей iPhone и iPad уязвимой.

Сейчас Apple предполагает, что когда вы копируете информацию из приложения, следующее приложение, которое вы откроете, будет туда, куда вы хотите вставить эту информацию. Таким образом, Apple предоставляет активному приложению, работающему на переднем плане вашего телефона, доступ к «монтажной доске» операционной системы, которая, по сути, является краткосрочной памятью для всего скопированного вами материала.

Проблема, как обрисовали в общих чертах Томми Мыск и Талал Хадж Бакри, заключается в том, что люди отвлекаются и открывают приложения, прежде чем помещать эту информацию в нужное приложение. Может быть, они получают уведомление, или, может быть, они внезапно вспоминают что-то еще, что им нужно сделать, и забывают о том, что они только что скопировали (как известно, в наши дни интервалы внимания обычно короткие).

Вы часто #CopyPaste на своем iPhone и iPad?
Итак, мы задокументировали, как вредоносное приложение может украсть ваши личные данные из буфера обмена. @ Apple не считает это проблемой!

Что вы думаете?

Прочтите статью полностью на https://t.co/IzHClZxFw1 pic.twitter.com/Y1eXHNs8qM

& mdash; Mysk (@mysk_co) 24 февраля 2020 г.

Майск и Бакри утверждают, что каждое приложение, открываемое пользователем на iPhone, будет иметь доступ к вашему монтажному столу и даже может писать или переписывать Это. Это также относится к любым виджетам, которые пользователи Apple запускают на своих панелях «Сегодняшний обзор» на своих телефонах или iPad — они также могут видеть ваш монтажный стол.

«Он может читать все, что у меня есть на монтажном столе. : Фотографии, PDF-файлы, тексты, пароли и любые типы данных, которые вы можете копировать », — сказал Мыск Digital Trends. «Это открытие шокировало меня. Это была причина, которая подтолкнула меня написать демонстрационное приложение, задокументировать работу и отправить ее в Apple ».

Проверка своей теории

Мыск и Бакри написали приложение под названием Klipboard Spy для демонстрации функции. Они продемонстрировали, как копирование фотографии сделало ее метаданные доступными для Klipboard Spy, включая место, где была сделана фотография.

Если вы скопируете и вставите пароль, номер чьего-либо банковского счета или любой другой вид уязвимой личной информации, другие приложения могут видеть эту информацию — приложения, к которым вы не обязательно хотите иметь такой доступ. Злоумышленник с достаточной скоростью теоретически может переписать информацию о банковском счете, сохраненную в операционной системе, и перенаправить деньги на другой счет..

Предположим, гипотетически, что на вашем телефоне есть популярное приложение с некоторыми теневыми связями с определенным иностранным правительством, и на пути между копированием изображения и отправкой этого изображения своему другу вы открываете вверх это другое приложение — это приложение сможет увидеть, где вы были, с помощью метаданных этой фотографии.

Это также относится к так называемому «универсальному буферу обмена», который, как пояснил Майск, является общим монтажным столом который доступен для всех устройств Apple, использующих один и тот же Apple ID. Если на переднем плане телефона запущено вредоносное приложение и вы скопируете что-то на свой компьютер, приложение сможет видеть, что вы вставляете на свой компьютер.

Последняя версия iPadOS позволяет пользователь может настроить свою панель виджетов так, чтобы она всегда была видна. Это означает, что он всегда активен, и эти приложения могут видеть ваши копии на всех ваших устройствах, связанных с вашим Apple ID. «Если у вас есть вредоносный виджет поверх вашего представления« Сегодня », он всегда сможет прочитать монтажный стол каждый раз, когда вы закроете приложение», — сказал Майск.

«Я не могу понять, почему виджет должен иметь доступ к картону. Я уверен, что есть хорошие сценарии, но как эксперт по безопасности я бы не позволил начать с этого — по крайней мере, не без информирования пользователя », — сказал Майск.

Apple отвечает

Apple не ответила на запрос о комментарии, но, по словам Майска, 2 января он отправил официальное уведомление Apple, в котором говорилось, что он и его партнер Хадж Бакри обнаружили этот недостаток. Apple ответила 6 февраля и, по словам Мыска, заявила, что их оценка пришла к выводу, что рисков нет, и предложила несколько решений. Мыск не стал раскрывать подробностей обмена с Apple, но он думал, что их идеи были в лучшем случае ничтожными.

«Мы представили несколько примеров методов функционирования, чтобы создать среду, в которой любой злоумышленник может злоупотребить данных », — сказал Мыск. Они предоставили неаккуратные средства правовой защиты, которые не решают проблему ».

Проблема в том, что настройки, которые включают эту утечку данных, часто являются настройками по умолчанию, о которых большинство пользователей не знает, или — сказал Мыск. «Почему бы нам не сместить политику с« доверять разработчикам »на« все это контролирует пользователь? » — спросил он.

Например, продолжил он, пользователь может отключить универсальный буфер обмена, если он знает, как это сделать. «Но он активирован по умолчанию, и большинство пользователей не беспокоятся о его отключении», — добавил он.

Хорошая новость заключается в том, что человек может смягчить многие из них, просто отключив места на фотографиях и привередничать в том, какие приложения открыты. Но Майск хотел, чтобы Apple взяла на себя больше ответственности.

Он указал на тот факт, что Apple изменила свои разрешения для контактов и фотографий; раньше все приложения на вашем телефоне имели доступ к этим приложениям по умолчанию, но теперь пользователь должен активно давать разрешение. Майск сказал, что хочет видеть аналогичные разрешения для монтажного стола, а также визуальный индикатор, показывающий, когда приложение может видеть монтажный стол, аналогичный стрелке местоположения, которую пользователь увидит, когда приложение использует ваше местоположение.

Оцените статью
howzone.ru
Добавить комментарий