Популярные приложения, такие как TikTok, отслеживают ваш буфер обмена iPhone

TikTok - это одно из 50 приложений, которые можно отслеживать в буфере обмена iOS без ведома пользователя.

Согласно новому исследованию, многие популярные приложения для iOS и iPadOS подглядывают в буфера обмена устройств, хотя в настоящее время нет никаких признаков злоупотреблений.

TikTok - это одно из 50 приложений, которые можно отслеживать в буфере обмена iOS без ведома пользователя.
TikTok — это одно из 50 приложений, которые можно отслеживать в буфере обмена iOS без ведома пользователя.

Приложения на iOS или iPadOS обычно имеют неограниченный доступ к данным, скопированным или вырезанным на общесистемной клавиатуре. Apple, со своей стороны, сказала, что это предполагаемое поведение. Но пара разработчиков iOS обнаружили, что приложения могут читать эти данные без ведома пользователя каждый раз, когда приложение открыто.

В своем блоге разработчики Tommy Mysk и Talal Haj Bakry называют список из 50 приложений, которые читают содержимое буфера обмена iOS каждый раз, когда они открыты без ведома пользователя. Список включает в себя популярные приложения, такие как TikTok, Accuweather, Truecaller, Overstock и множество новостных публикаций.

Разработчики, которые использовали Xcode и Xcode Command line для анализа поведения приложений, также опубликовали видео с проверкой концепции, демонстрирующее очевидную лазейку.

Чтобы было ясно, исследование не предполагает, что эти приложения делают что-либо вредоносное с данными или даже удаляют их. Они просто читают это. Но один этот факт оставляет дверь открытой для возможного злоупотребления.

Хотя данные, хранящиеся в буфере обмена, как правило, достаточно безопасны, этот метод можно использовать для считывания конфиденциальной копируемой информации, такой как номера кредитных карт или пароли в виде открытого текста. Если пользователь копирует изображение в свою камеру, он также может включать метаданные с определенными местоположениями или координатами, хотя приложения, которые разработчики проанализировали, смотрели только на текст.

Loading...

Это не первый раз, когда Mysk и Bakry изучают уязвимости буфера обмена. В феврале дуэт представил Apple свои исследования местоположения буфера обмена.

По сообщениям, технический титан из Купертино сказал им, что они не видят проблемы с поведением, потому что только приложения на переднем плане могут читать буфер обмена. Mysk и Bakry затем создали виджет, который показывает, что приложения могут получить доступ к буферу обмена в представлении Today. Они также показали, что этот недостаток можно использовать для чтения текста, скопированного на Mac через универсальный буфер обмена.

Могут быть небезопасные причины, по которым происходит чтение из буфера обмена. Разработчики сообщили Forbes, что это может быть связано с устаревшей библиотекой, читающей монтажную панель, и что некоторые разработчики могут не знать, что это происходит.

Мыск и Бакри утверждают, что Apple должна действовать, чтобы закрыть уязвимость, потому что было бы довольно тривиально создать вредоносный код, который скрытно экранирует эти данные.

Уязвимость становится все более тревожной, учитывая проблемы безопасности и конфиденциальности некоторых приложений, таких как TikTok.

В апреле 2019 года правительство Индии призвало Apple удалить TikTok из индийского App Store по соображениям безопасности детей. Несмотря на то, что приложение было восстановлено в течение недели, TikTok находится под пристальным вниманием и в других частях света. Например, США открыли обзор безопасности приложения, сообщает The New York Times.

Соцсети