Skadliga iOS-appar kan tyst stjäla data från Urklipp

Kopiering av information från en plats till en annan med hjälp av copy-paste är en vanlig åtgärd på vilken enhet som helst, men på iOS och iPadOS lämnar den din data sårbar, enligt en programvarutekniker.

Som Threatpost rapporterar, anser den tyska programvarutekniker Tommy Mysk att implementeringen av funktionen för klippning och kopiering klistra in i iOS räknas som en sårbarhet som Apple behöver fixa.

Problemet beror på att alla appar får läsa data som lagras tillfälligt i urklipp och Mysk skrev en proof-of-concept-app för att visa hur lätt det är att stjäla dessa data.

Apple anser att kopierings- och klistra-systemet det använder är en grundläggande funktion för alla operativsystem, samtidigt som endast iOS-appar som är aktiva och i förgrunden kan komma åt urklipp.

Med detta i åtanke tror Apple inte att det finns en sårbarhet att ta itu med.

Mysk svar är en app som heter KlipboardSpy och en iOS-widget som heter KlipSpyWidget.

I videon ovan visar han hur GPS-platsen tyst kan extraheras från ett kopierat foto trots att appen inte har tillgång till platstjänster.

Mysk kommer runt appen som behöver vara aktiv och i förgrunden genom att använda en widget istället och ställa in den så att den alltid är aktiv.

Även om alla appar är stängda kan widgeten fortfarande läsa innehållet på Urklipp varje gång hemskärmen visas.

Nästa gång KlipboardSpy-appen öppnas samlar den in data som tagits av widgeten från Urklipp.

Sårbarheten finns på alla Apple-enheter som kör iOS och iPadOS 13.3.

Lösningen är enligt Mysk att Apple introducerar en ny behörighet som blockerar åtkomst till Urklippsdata såvida inte en användare uttryckligen ger en appbehörighet att visa den.

Som ett alternativ föreslår Mysk, "att operativsystemet bara kan exponera innehållet på kortsidan för en app när användaren aktivt utför en klistrappning."

Eftersom Apple inte ser detta som en sårbarhet kommer funktionaliteten och implementeringen inte att förändras, men det finns helt klart en möjlighet för appar att stjäla data här om de väljer att göra det.

Det finns också liten chans att Apple bestämmer sig för att göra något för att ta itu med det i framtiden, eftersom iOS-användare pratade om urklippssårbarheter för tre år sedan.

Kopiering av information från en plats till en annan med hjälp av copy-paste är en vanlig åtgärd på vilken enhet som helst, men på iOS och iPadOS lämnar den din data sårbar, enligt en programvarutekniker.

Som Threatpost rapporterar, anser den tyska programvarutekniker Tommy Mysk att implementeringen av funktionen för klippning och kopiering klistra in i iOS räknas som en sårbarhet som Apple behöver fixa.

Problemet beror på att alla appar får läsa data som lagras tillfälligt i urklipp och Mysk skrev en proof-of-concept-app för att visa hur lätt det är att stjäla dessa data.

Apple anser att kopierings- och klistra-systemet det använder är en grundläggande funktion för alla operativsystem, samtidigt som endast iOS-appar som är aktiva och i förgrunden kan komma åt urklipp.

Med detta i åtanke tror Apple inte att det finns en sårbarhet att ta itu med.

Mysk svar är en app som heter KlipboardSpy och en iOS-widget som heter KlipSpyWidget.

I videon ovan visar han hur GPS-platsen tyst kan extraheras från ett kopierat foto trots att appen inte har tillgång till platstjänster.

Mysk kommer runt appen som behöver vara aktiv och i förgrunden genom att använda en widget istället och ställa in den så att den alltid är aktiv.

Även om alla appar är stängda kan widgeten fortfarande läsa innehållet på Urklipp varje gång hemskärmen visas.

Nästa gång KlipboardSpy-appen öppnas samlar den in data som tagits av widgeten från Urklipp.

Sårbarheten finns på alla Apple-enheter som kör iOS och iPadOS 13.3.

Lösningen är enligt Mysk att Apple introducerar en ny behörighet som blockerar åtkomst till Urklippsdata såvida inte en användare uttryckligen ger en appbehörighet att visa den.

Som ett alternativ föreslår Mysk, "att operativsystemet bara kan exponera innehållet på kortsidan för en app när användaren aktivt utför en klistrappning."

Eftersom Apple inte ser detta som en sårbarhet kommer funktionaliteten och implementeringen inte att förändras, men det finns helt klart en möjlighet för appar att stjäla data här om de väljer att göra det.

Det finns också liten chans att Apple bestämmer sig för att göra något för att ta itu med det i framtiden, eftersom iOS-användare pratade om urklippssårbarheter för tre år sedan.