Ondsindede iOS-apps kan stille stjæle data fra udklipsholderen

Kopiering af oplysninger fra et sted til et andet ved hjælp af copy-paste er en almindelig handling på enhver enhed, men på iOS og iPadOS efterlader det dine data sårbare ifølge en softwareingeniør.

Som Threatpost rapporterer, mener den tyske softwareingeniør Tommy Mysk, at implementeringen af ??cut-copy-paste-funktionaliteten i iOS tæller som en sårbarhed, som Apple skal løse.

Problemet skyldes, at enhver app har lov til at læse data, der er gemt midlertidigt i udklipsholderen, og Mysk skrev en proof-of-concept-app for at demonstrere, hvor let det er at stjæle disse data.

Apple mener, at det copy-paste-system, det bruger, er en grundlæggende funktion i alle operativsystemer, mens det kun er iOS-apps, der er aktive og i forgrunden, der har adgang til udklipsholderen.

Med det i tankerne mener Apple ikke, at der er en sårbarhed at adressere.

Mysk's svar er en app kaldet KlipboardSpy og en iOS-widget kaldet KlipSpyWidget.

I videoen ovenfor viser han, hvordan GPS-placeringen kan udvindes lydløst fra et kopieret foto, selvom appen ikke har adgang til Location Services.

Mysk kommer rundt i appen, der skal være aktiv og i forgrunden ved at bruge en widget i stedet og indstille den til altid at være aktiv.

Selvom alle apps er lukket, kan widgeten stadig læse indholdet af udklipsholderen hver gang startskærmen vises.

Næste gang KlipboardSpy-appen åbnes, indsamler den de data, som widgeten griber fra udklipsholderen.

Sårbarheden er til stede på alle Apple-enheder, der kører iOS og iPadOS 13.3.

Løsningen er ifølge Mysk, at Apple introducerer en ny tilladelse, der blokerer adgang til udklipsholderdata, medmindre en bruger udtrykkeligt giver en app tilladelse til at se det.

Som et alternativ foreslår Mysk, "operativsystemet kan kun eksponere indholdet af bordet for en app, når brugeren aktivt udfører en indsættelseshandling."

Da Apple ikke ser dette som en sårbarhed, ændres funktionaliteten og implementeringen ikke, men der er helt klart en mulighed for apps at stjæle data her, hvis de vælger at.

Der er også ringe chance for, at Apple beslutter at gøre noget for at løse det i fremtiden, da iOS-brugere talte om udklipsholderens sårbarheder for tre år siden.

Kopiering af oplysninger fra et sted til et andet ved hjælp af copy-paste er en almindelig handling på enhver enhed, men på iOS og iPadOS efterlader det dine data sårbare ifølge en softwareingeniør.

Som Threatpost rapporterer, mener den tyske softwareingeniør Tommy Mysk, at implementeringen af ??cut-copy-paste-funktionaliteten i iOS tæller som en sårbarhed, som Apple skal løse.

Problemet skyldes, at enhver app har lov til at læse data, der er gemt midlertidigt i udklipsholderen, og Mysk skrev en proof-of-concept-app for at demonstrere, hvor let det er at stjæle disse data.

Apple mener, at det copy-paste-system, det bruger, er en grundlæggende funktion i alle operativsystemer, mens det kun er iOS-apps, der er aktive og i forgrunden, der har adgang til udklipsholderen.

Med det i tankerne mener Apple ikke, at der er en sårbarhed at adressere.

Mysk's svar er en app kaldet KlipboardSpy og en iOS-widget kaldet KlipSpyWidget.

I videoen ovenfor viser han, hvordan GPS-placeringen kan udvindes lydløst fra et kopieret foto, selvom appen ikke har adgang til Location Services.

Mysk kommer rundt i appen, der skal være aktiv og i forgrunden ved at bruge en widget i stedet og indstille den til altid at være aktiv.

Selvom alle apps er lukket, kan widgeten stadig læse indholdet af udklipsholderen hver gang startskærmen vises.

Næste gang KlipboardSpy-appen åbnes, indsamler den de data, som widgeten griber fra udklipsholderen.

Sårbarheden er til stede på alle Apple-enheder, der kører iOS og iPadOS 13.3.

Løsningen er ifølge Mysk, at Apple introducerer en ny tilladelse, der blokerer adgang til udklipsholderdata, medmindre en bruger udtrykkeligt giver en app tilladelse til at se det.

Som et alternativ foreslår Mysk, "operativsystemet kan kun eksponere indholdet af bordet for en app, når brugeren aktivt udfører en indsættelseshandling."

Da Apple ikke ser dette som en sårbarhed, ændres funktionaliteten og implementeringen ikke, men der er helt klart en mulighed for apps at stjæle data her, hvis de vælger at.

Der er også ringe chance for, at Apple beslutter at gøre noget for at løse det i fremtiden, da iOS-brugere talte om udklipsholderens sårbarheder for tre år siden.