Простое действие на iPhone угрожает личной безопасности / Фото: Pexels
Два разработчика программного обеспечения из Канады и Германии обнаружили в системе Apple iOS потенциальную угрозу, которую вызывает простое действие. Выяснилось, что обычный "копипаст" (копирование и вставка) может сделать информацию пользователей iPhone и iPad уязвимой.
При копировании информации из приложения следующая открытая программа предполагает, что пользователь может использовать вставку и хранит эти данные в специальном буфере. Таким образом, iOS предоставляет активному приложению, работающему на переднем плане, доступ к открытому "буферу обмена" операционной системы, который по сути является кратковременной памятью для всего, что скопировал пользователь.
Проблема, как обрисовали в общих чертах программисты Томми Миск и Талал Хадж Бакри, заключается в том, что люди отвлекаются и открывают приложения, прежде чем помещать эту информацию в нужное приложение. Злоумышленники могут использовать уведомление или другой способ отвлечения внимания, чтобы заставить владельца смартфона запустить вредоносное приложение для захвата информации с буфера обмена, которая может содержать номера кредитных карт, разные PIN-коды, пароли и прочую конфиденциальную информацию.
Смотрите также в сюжете о том, как одесские правоохранители разоблачили хакеров:
Разработчики утверждают, что каждое приложение, открытое пользователем на iPhone, будет иметь доступ к скопированной информации и может даже переписывать ее. Это также относится к любым виджетам, которые пользователи Apple используют на своих iPad – они также могут сканировать буфер обмена.
"Любое приложение способно прочитать все, что скопировано: фотографии, PDF-файлы, тексты, пароли и любой тип данных. Это откровение было шокирующим для нас. Именно поэтому мы написали демонстрационное приложение, чтобы задокументировать работу и отправить ее в Apple", – объяснил Томми Миск.
Мыск и Бакри написали специальное приложение под названием Klipboard Spy для демонстрации этой функции. Они продемонстрировали, как копирование фотографии делает метаданные фотографии доступными для Klipboard Spy, включая место, где была сделана фотография.
Если вы скопируете и вставите пароль, номер чьего-либо банковского счета или какую-либо уязвимую личную информацию, другие приложения смогут завладеть этими данными – причем даже если у приложения нет на это прав. Злоумышленник теоретически может переписать данные банковского счета, сохраненные в операционной системе, и перенаправить деньги на другой счет.
Напомним, что ранее Apple наказали за замедление iPhone. В то же время Евросоюз заставил Apple сменить порт зарядки у iPhone.