Las aplicaciones maliciosas de iOS pueden robar datos silenciosamente del portapapeles

Copiar información de una ubicación a otra usando copiar y pegar es una acción común en cualquier dispositivo, pero en iOS y iPadOS deja tus datos vulnerables, según un ingeniero de software.

Como informa Threatpost, el ingeniero de software alemán Tommy Mysk cree que la implementación de la funcionalidad cortar-copiar-pegar en iOS cuenta como una vulnerabilidad que Apple necesita corregir.

El problema surge del hecho de que cualquier aplicación puede leer datos almacenados temporalmente en el portapapeles, y Mysk escribió una aplicación de prueba de concepto para demostrar lo fácil que es robar esos datos.

Apple cree que el sistema de copiar y pegar que utiliza es una función básica de todos los sistemas operativos, mientras que, al mismo tiempo, solo las aplicaciones de iOS que están activas y en primer plano pueden acceder al portapapeles.

Con eso en mente, Apple no cree que haya una vulnerabilidad que abordar.

La respuesta de Mysk es una aplicación llamada KlipboardSpy y un widget de iOS llamado KlipSpyWidget.

En el video de arriba, muestra cómo la ubicación GPS se puede extraer silenciosamente de una foto copiada aunque la aplicación no tenga acceso a los Servicios de ubicación.

Mysk evita la necesidad de que la aplicación esté activa y en primer plano utilizando un widget y configurándolo para que esté siempre activo.

Incluso si todas las aplicaciones están cerradas, el widget aún puede leer el contenido del portapapeles cada vez que se muestra la pantalla de inicio.

La próxima vez que se abra la aplicación KlipboardSpy, esta recopilará los datos capturados por el widget del portapapeles.

La vulnerabilidad está presente en todos los dispositivos Apple que ejecutan iOS y iPadOS 13.3.

La solución, según Mysk, es que Apple introduzca un nuevo permiso que bloquea el acceso a los datos del portapapeles a menos que un usuario otorgue expresamente un permiso de aplicación para verlo.

Como alternativa, sugiere Mysk, "el sistema operativo solo puede exponer el contenido de la mesa de trabajo a una aplicación cuando el usuario realiza activamente una operación de pegado".

Como Apple no ve esto como una vulnerabilidad, la funcionalidad y la implementación no cambiarán, pero claramente existe una oportunidad para que las aplicaciones roben datos aquí si así lo desean.

También hay pocas posibilidades de que Apple decida hacer algo para solucionarlo en el futuro, ya que los usuarios de iOS hablaban de las vulnerabilidades del portapapeles hace tres años.

Copiar información de una ubicación a otra usando copiar y pegar es una acción común en cualquier dispositivo, pero en iOS y iPadOS deja tus datos vulnerables, según un ingeniero de software.

Como informa Threatpost, el ingeniero de software alemán Tommy Mysk cree que la implementación de la funcionalidad cortar-copiar-pegar en iOS cuenta como una vulnerabilidad que Apple necesita corregir.

El problema surge del hecho de que cualquier aplicación puede leer datos almacenados temporalmente en el portapapeles, y Mysk escribió una aplicación de prueba de concepto para demostrar lo fácil que es robar esos datos.

Apple cree que el sistema de copiar y pegar que utiliza es una función básica de todos los sistemas operativos, mientras que, al mismo tiempo, solo las aplicaciones de iOS que están activas y en primer plano pueden acceder al portapapeles.

Con eso en mente, Apple no cree que haya una vulnerabilidad que abordar.

La respuesta de Mysk es una aplicación llamada KlipboardSpy y un widget de iOS llamado KlipSpyWidget.

En el video de arriba, muestra cómo la ubicación GPS se puede extraer silenciosamente de una foto copiada aunque la aplicación no tenga acceso a los Servicios de ubicación.

Mysk evita la necesidad de que la aplicación esté activa y en primer plano utilizando un widget y configurándolo para que esté siempre activo.

Incluso si todas las aplicaciones están cerradas, el widget aún puede leer el contenido del portapapeles cada vez que se muestra la pantalla de inicio.

La próxima vez que se abra la aplicación KlipboardSpy, esta recopilará los datos capturados por el widget del portapapeles.

La vulnerabilidad está presente en todos los dispositivos Apple que ejecutan iOS y iPadOS 13.3.

La solución, según Mysk, es que Apple introduzca un nuevo permiso que bloquea el acceso a los datos del portapapeles a menos que un usuario otorgue expresamente un permiso de aplicación para verlo.

Como alternativa, sugiere Mysk, "el sistema operativo solo puede exponer el contenido de la mesa de trabajo a una aplicación cuando el usuario realiza activamente una operación de pegado".

Como Apple no ve esto como una vulnerabilidad, la funcionalidad y la implementación no cambiarán, pero claramente existe una oportunidad para que las aplicaciones roben datos aquí si así lo desean.

También hay pocas posibilidades de que Apple decida hacer algo para solucionarlo en el futuro, ya que los usuarios de iOS hablaban de las vulnerabilidades del portapapeles hace tres años.