Schadelijke iOS-apps kunnen stilletjes gegevens van het klembord stelen

Het kopiëren van informatie van de ene locatie naar de andere met behulp van copy-paste is een veel voorkomende handeling op elk apparaat, maar op iOS en iPadOS blijven je gegevens kwetsbaar, aldus een software-engineer.

Zoals Threatpost meldt, gelooft de Duitse software-engineer Tommy Mysk dat de implementatie van de cut-copy-paste-functionaliteit in iOS telt als een kwetsbaarheid die Apple moet oplossen.

Het probleem komt voort uit het feit dat elke app gegevens mag lezen die tijdelijk op het klembord zijn opgeslagen, en Mysk schreef een proof-of-concept-app om aan te tonen hoe gemakkelijk het is om die gegevens te stelen.

Apple gelooft dat het copy-paste-systeem dat het gebruikt een basisfunctie is van alle besturingssystemen, terwijl tegelijkertijd alleen iOS-apps die actief zijn en op de voorgrond staan, toegang hebben tot het klembord.

Met dat in gedachten gelooft Apple niet dat er een kwetsbaarheid is die moet worden aangepakt.

Het antwoord van Mysk is een app genaamd KlipboardSpy en een iOS-widget genaamd KlipSpyWidget.

In de video hierboven laat hij zien hoe de gps-locatie geruisloos uit een gekopieerde foto kan worden gehaald, ook al heeft de app geen toegang tot locatiediensten.

Mysk omzeilt de app die actief en op de voorgrond moet zijn door in plaats daarvan een widget te gebruiken en deze in te stellen op altijd actief.

Zelfs als alle apps zijn gesloten, kan de widget de inhoud van het klembord nog steeds lezen telkens wanneer het startscherm in beeld wordt gebracht.

De volgende keer dat de KlipboardSpy-app wordt geopend, worden de gegevens verzameld door de widget van het klembord.

De kwetsbaarheid is aanwezig op alle Apple-apparaten met iOS en iPadOS 13.3.

De oplossing is volgens Mysk dat Apple een nieuwe toestemming introduceert die de toegang tot klembordgegevens blokkeert, tenzij een gebruiker een app uitdrukkelijk toestemming geeft om deze te bekijken.

Als alternatief, stelt Mysk, "kan het besturingssysteem de inhoud van het plakbord alleen aan een app tonen wanneer de gebruiker actief een plakbewerking uitvoert."

Aangezien Apple dit niet als een kwetsbaarheid beschouwt, zullen de functionaliteit en implementatie niet veranderen, maar er is duidelijk een mogelijkheid voor apps om hier gegevens te stelen als ze dat willen.

Er is ook weinig kans dat Apple in de toekomst iets zal doen om het probleem aan te pakken, aangezien iOS-gebruikers het drie jaar geleden over klembordkwetsbaarheden hadden.

Het kopiëren van informatie van de ene locatie naar de andere met behulp van copy-paste is een veel voorkomende handeling op elk apparaat, maar op iOS en iPadOS blijven je gegevens kwetsbaar, aldus een software-engineer.

Zoals Threatpost meldt, gelooft de Duitse software-engineer Tommy Mysk dat de implementatie van de cut-copy-paste-functionaliteit in iOS telt als een kwetsbaarheid die Apple moet oplossen.

Het probleem komt voort uit het feit dat elke app gegevens mag lezen die tijdelijk op het klembord zijn opgeslagen, en Mysk schreef een proof-of-concept-app om aan te tonen hoe gemakkelijk het is om die gegevens te stelen.

Apple gelooft dat het copy-paste-systeem dat het gebruikt een basisfunctie is van alle besturingssystemen, terwijl tegelijkertijd alleen iOS-apps die actief zijn en op de voorgrond staan, toegang hebben tot het klembord.

Met dat in gedachten gelooft Apple niet dat er een kwetsbaarheid is die moet worden aangepakt.

Het antwoord van Mysk is een app genaamd KlipboardSpy en een iOS-widget genaamd KlipSpyWidget.

In de video hierboven laat hij zien hoe de gps-locatie geruisloos uit een gekopieerde foto kan worden gehaald, ook al heeft de app geen toegang tot locatiediensten.

Mysk omzeilt de app die actief en op de voorgrond moet zijn door in plaats daarvan een widget te gebruiken en deze in te stellen op altijd actief.

Zelfs als alle apps zijn gesloten, kan de widget de inhoud van het klembord nog steeds lezen telkens wanneer het startscherm in beeld wordt gebracht.

De volgende keer dat de KlipboardSpy-app wordt geopend, worden de gegevens verzameld door de widget van het klembord.

De kwetsbaarheid is aanwezig op alle Apple-apparaten met iOS en iPadOS 13.3.

De oplossing is volgens Mysk dat Apple een nieuwe toestemming introduceert die de toegang tot klembordgegevens blokkeert, tenzij een gebruiker een app uitdrukkelijk toestemming geeft om deze te bekijken.

Als alternatief, stelt Mysk, "kan het besturingssysteem de inhoud van het plakbord alleen aan een app tonen wanneer de gebruiker actief een plakbewerking uitvoert."

Aangezien Apple dit niet als een kwetsbaarheid beschouwt, zullen de functionaliteit en implementatie niet veranderen, maar er is duidelijk een mogelijkheid voor apps om hier gegevens te stelen als ze dat willen.

Er is ook weinig kans dat Apple in de toekomst iets zal doen om het probleem aan te pakken, aangezien iOS-gebruikers het drie jaar geleden over klembordkwetsbaarheden hadden.