Євген Опанасенко
редактор розділу Техно Два розробника програмного забезпечення з Канади і Німеччини виявили в системі Apple iOS потенційну загрозу, яку викликає проста і популярна дія. З'ясувалося, що звичайний "копіпаст" (копіювання і вставка) може зробити інформацію користувачів iPhone і iPad вразливою.
При копіюванні інформації з додатку наступна відкрита програма передбачає, що користувач може використовувати вставку і зберігає ці дані в спеціальному буфері. Таким чином, iOS надає активному додатку, що працює на передньому плані, доступ до відкритого "буферу обміну" операційної системи, який по суті є короткочасною пам'яттю для всього, що скопіював користувач.
Проблема, як описали в загальних рисах програмісти Томмі Миска і Талал Хадж Бакрі, полягає в тому, що люди відволікаються і відкривають додатки, перш ніж поміщати цю інформацію в потрібну програму. Зловмисники можуть використовувати повідомлення або інший спосіб відволікання уваги, щоб змусити власника смартфона запустити шкідливий додаток для захоплення інформації з буфера обміну, який може містити номери кредитних карт, різні PIN-коди, паролі та іншу конфіденційну інформацію.
Дивіться також в сюжеті про те, як одеські правоохоронці викрили хакерів:
Розробники стверджують, що кожен додаток, відкритий користувачем на iPhone, буде мати доступ до скопійованої інформації і може навіть переписувати її. Це також відноситься до будь-яких віджетів, які користувачі Apple використовують на своїх iPad – вони також можуть сканувати буфер обміну.
"Будь-який додаток здатний прочитати все, що скопійовано: фотографії, PDF-файли, тексти, паролі і будь-який тип даних. Це одкровення було шокуючим для нас. Саме тому ми написали демонстраційний додаток, щоб задокументувати роботу і відправити її в Apple", – пояснив Томмі Миска.
Миска і Бакрі написали спеціальний додаток під назвою Klipboard Spy для демонстрації цієї функції. Вони показали, як копіювання фотографії робить метадані фотографії доступними для Klipboard Spy, включаючи місце, де був зроблений знімок.
Якщо ви скопіюєте і вставите пароль, номер банківського рахунку або будь-яку вразливу особисту інформацію, інші додатки зможуть заволодіти цими даними – причому навіть якщо у додатку немає на це прав. Зловмисник теоретично може переписати дані банківського рахунку, збереженого в операційній системі, і перенаправити гроші на інший рахунок.
Нагадаємо, що раніше Apple покарали за уповільнення iPhone. У той же час Євросоюз змусив Apple змінити порт зарядки у iPhone.
Головні теми