Yksinkertainen Apple Security Hack: Jos sinulla on iPhone ja MacBook, katso pois nyt
muutama päivä sitten raportoin tietoturvatutkijoiden Talal Haj Bakryn ja Tommy Myskinilmoituksesta, että iPhoneissa ja iPadeissa olevia klipstejä voidaan käyttää hyväksi ”pahantahtoisilla” sovelluksilla noissa laitteissa ”varastamaan” leikepöydälle kopioituja tietoja. Applen mukaan kyseessä on yksinkertaisesti normaalisti toimiva kopio-ja pastatoiminto, mutta se näyttää avaavan tietoturvahaavoittuvuuden, joka saattaa yllättää käyttäjät.
ilmeisesti riski ulottuu iPhoneja ja iPadeja laajemmalle. Tutkijat ovat nyt palanneet, kertoen minulle ” vihjasimme artikkelissamme, että Universal leikepöydälle voi myös vaikuttaa tämän haavoittuvuuden salakuunnella mitä käyttäjät kopioivat Maceissaan.”Ja se olisi ongelma. Koska, vaikka käyttö kopioi ja liitä saattaa olla suhteellisen harvinaista iOS-laitteella, se on jokapäiväistä liiketoimintaa tavalliseen Mac.
riski syntyy, koska, kuten Apple selittää, voit käyttää Universal leikepöytää ”kopioida ja liittää Apple-laitteidesi välillä—voit kopioida sisältöä, kuten tekstiä, kuvia, valokuvia ja videoita yhdellä Applen laitteella ja liittää sisällön toiseen.”
” saimme paljon pyyntöjä tästä asiasta”, tutkijat kertoivat 26. helmikuuta, ” joten lisäsimme videon, joka havainnollistaa, miten iPhone-tai iPad-sovellus voi salakuunnella Macin leikepöydällä.”Tässä se video:
”toimitimme tämän Applelle 2. tammikuuta 2020”, tutkijat kertoivat alkuperäisessä blogissaan. ”Analysoituaan lähetystä Apple ilmoitti meille, että he eivät näe ongelmaa tämän haavoittuvuuden kanssa.”Olen ottanut yhteyttä Appleen kommentoidakseni asiaa.
riski Vaatii iOS-laitteen etualasovelluksen. Tutkijat ” lisäsi todennäköisyyttä sovellus voi lukea pasteboard ”luomalla widget Today View,” näin laajentaa haavoittuvuus ikkuna.”
Blogissa itse keskitytään riskiin, että ilkeä toimija voisi askarrella sovelluksen vakoillakseen leikepöydälle ja sitten käyttää laitteella otettuun valokuvaan liitettyjä metatietoja. Kuten Sophos selitti, ” haitallinen sovellukset voivat hyödyntää sitä selvittää käyttäjän sijainti, vaikka kyseinen käyttäjä on lukinnut sovelluksen sijainnin jakaminen.”Kuitenkin, riski, että tiedot kopioitu Mac saattaa haistaa jonka haitallinen sovellus liitteenä iOS-laitteen näyttää enemmän kysymys hyödyntää näkökulmasta.
tutkijoiden neuvo Applelle pysyy samana: poista rajoittamaton pääsy leikepöydälle—iOS: n uusimpien versioiden yksityisyysasetuksiin voi sisältyä asetus, jolla leikepöydälle myönnetään pääsy sovelluksen kautta. Tai vaihtoehtoisesti rajoittaa leikepöydälle pääsyä ” kun käyttäjä suorittaa aktiivisesti liitä-toiminnon.”
kuten alkuperäisessä raportissani sanoin, tämä on vain mahdollinen turva-aukko, eikä sitä ole väitetty hyväksi luonnossa. ”mutta valtion tukemien uhkaryhmien ja järjestäytyneiden rikollisverkostojen hyökätessä käyttöjärjestelmiä vastaan rutiininomaisesti, mikä tahansa mahdollinen virhe tarjoaa lähtökohdan hyväksikäytölle.”Veikkaukseni on edelleen, että Apple puuttuu tähän tulevaan julkaisuun ja korjaa tämän aukon.
Seuraa minua Twitterissä tai LinkedInissä.