Egyszerű Apple Security Hack: Ha van egy iPhone és MacBook, nézz el most
néhány nappal ezelőtt beszámoltam Talal Haj Bakry és Tommy Mysk biztonsági kutatók nyilvánosságra hozataláról, hogy az iPhone és iPad készülékeken lévő clipboards nyitva áll a “rosszindulatú” alkalmazások számára, hogy “ellopják” a vágólapra másolt adatokat. Az Apple úgy véli, hogy ez egyszerűen a másolás és beillesztés funkció, amely a szokásos módon működik, de úgy tűnik, hogy olyan biztonsági rést nyit meg, amely meglepheti a felhasználókat.
nyilvánvaló, hogy a kockázat túlmutat az iPhone és az iPad készülékeken. A kutatók most visszatértek, mondván: “cikkünkben utaltunk arra, hogy az univerzális vágólapra is hatással lehet ez a sebezhetőség, hogy lehallgassák, mit másolnak a felhasználók a Mac-en.”És ez kérdés lenne. Mivel bár a copy and paste használata viszonylag ritka lehet egy iOS-eszközön,a Mac-en szokásos mindennapi üzlet.
a kockázat azért merül fel, mert az Apple kifejti, hogy az univerzális vágólapot használhatja “az Apple eszközök közötti másoláshoz és beillesztéshez—másolhat tartalmat, például szöveget, képeket, fényképeket és videókat az egyik Apple eszközön, majd beillesztheti a tartalmat egy másikra.”
“sok kérést kaptunk erről a pontról” – mondták a kutatók február 26-án”, ezért hozzáadtunk egy videót, amely bemutatja, hogy egy iPhone vagy iPad alkalmazás hogyan hallgathatja le a Mac vágólapját.”Itt van a videó:
” ezt 2.január 2020-án nyújtottuk be az Apple-nek ” – magyarázták a kutatók eredeti blogjukban. “A beadvány elemzése után az Apple közölte velünk, hogy nem látnak problémát ezzel a sebezhetőséggel.”Felvettem a kapcsolatot az Apple – lel további észrevételekért.
a kockázathoz előtér alkalmazás szükséges az iOS-eszközön. A kutatók “növelték annak valószínűségét, hogy az alkalmazás el tudja olvasni a pasztát” egy widget létrehozásával a Today nézetben, “ezáltal kibővítve a sebezhetőségi ablakot.”
maga a blog arra a kockázatra összpontosít, hogy egy rosszindulatú színész elkészíthet egy alkalmazást, hogy kémkedjen a vágólapon, majd hozzáférjen az eszközön készített fényképhez csatolt metaadatokhoz. Ahogy Sophos kifejtette: “egy rosszindulatú alkalmazás kihasználhatja azt a felhasználó helyének meghatározására, még akkor is, ha a felhasználó lezárta az alkalmazás helymegosztását.”Azonban annak a kockázata, hogy a Mac-re másolt adatokat egy rosszindulatú alkalmazás kiszimatolhatja egy csatolt iOS-eszközön, inkább kizsákmányolási szempontból tűnik problémának.
a kutatók tanácsai az Apple—nek ugyanazok maradnak: távolítsa el a vágólaphoz való korlátlan hozzáférést-az iOS legújabb verzióinak adatvédelmi beállításai tartalmazhatnak olyan beállítást, amely lehetővé teszi a vágólaphoz való hozzáférést alkalmazásonként. Vagy alternatívaként korlátozza a vágólaphoz való hozzáférést a ” amikor a felhasználó aktívan végrehajtja a beillesztési műveletet.”
mint az eredeti jelentésemben mondtam, ez csak egy potenciális biztonsági lyuk, amely nem állítja, hogy vadonban használták volna ki. “de mivel az állam által támogatott fenyegetőcsoportok és szervezett bűnözői hálózatok rutinszerűen támadják az operációs rendszereket, minden lehetséges hiba kiindulópontot jelent a kizsákmányoláshoz.”A fogadásom továbbra is az, hogy az Apple egy jövőbeli kiadásban foglalkozik ezzel, és kijavítja ezt a lyukat.
Kövess engem a Twitteren vagy a LinkedIn-en.