Eenvoudige Apple Security Hack: Als je een iPhone en MacBook, Kijk nu weg
een paar dagen geleden rapporteerde ik over de openbaarmaking door security onderzoekers Talal Haj Bakry en Tommy Mysk dat de klemborden op iPhones en iPads open staan voor exploitatie door “kwaadaardige” apps op die apparaten om alle gegevens gekopieerd naar het klembord “te stelen”. Apple is van mening dat dit gewoon de kopieer-en plakfunctie werkt als normaal, maar het lijkt wel een beveiligingsprobleem dat gebruikers kan verrassen openen.
blijkbaar gaat het risico verder dan iPhones en iPads. De onderzoekers zijn nu teruggekeerd, vertellen me ” we hintte in ons artikel dat de Universele Klembord kan ook worden beïnvloed door deze kwetsbaarheid om af te luisteren op wat gebruikers kopiëren op hun Macs.”En dat zou een probleem zijn. Omdat, terwijl het gebruik van kopiëren en plakken relatief zeldzaam kan zijn op een iOS-apparaat, het is alledaagse business as usual op een Mac.
het risico ontstaat omdat, zoals Apple uitlegt, u het universele klembord “kunt gebruiken om te kopiëren en plakken tussen uw Apple—apparaten-U kunt inhoud zoals tekst, afbeeldingen, foto ’s en video’ s kopiëren op het ene Apple-apparaat en vervolgens de inhoud op een ander plakken.”
” we kregen veel verzoeken over dit punt,” de onderzoekers vertelde me op 26 februari, “dus hebben we een video toegevoegd die illustreert hoe een iPhone of iPad app kan afluisteren op het klembord op Mac.”Here’ s that video:
“We submitted this to Apple on January 2, 2020,” de onderzoekers uitgelegd in hun oorspronkelijke blog. “Na het analyseren van de inzending, Apple ons meegedeeld dat ze niet een probleem met deze kwetsbaarheid te zien.”Ik heb contact opgenomen met Apple voor verdere opmerkingen.
het risico vereist een voorgrond-app op het iOS-apparaat. De onderzoekers “verhoogde de kans dat de app het plakbord kan lezen” door het creëren van een widget in de weergave Vandaag, ” vandaar het uitbreiden van de kwetsbaarheid venster.”
de blog zelf richt zich op het risico dat een kwaadaardige acteur een app kan maken om te spioneren op het klembord en vervolgens toegang krijgt tot de metadata die zijn gekoppeld aan een foto die op het apparaat is genomen. Zoals Sophos uitgelegd, ” een kwaadaardige apps kunnen benutten om uit te werken locatie van een gebruiker, zelfs wanneer die gebruiker heeft vergrendeld app Locatie delen.”Echter, het risico dat gegevens gekopieerd op een Mac zou kunnen worden gesnoven door een kwaadaardige app op een bijgevoegde iOS-apparaat lijkt meer van een probleem vanuit een exploit perspectief.
Het advies aan Apple van de onderzoekers blijft hetzelfde: verwijder onbeperkte toegang tot het Klembord—de privacy-instellingen in de nieuwste versies van iOS kunnen een instelling bevatten om klembord toegang te verlenen via app. Of, als alternatief, beperken klembord toegang tot ” wanneer de gebruiker actief voert een plakken operatie.”
zoals ik in mijn oorspronkelijke rapport al zei, is dit slechts een potentieel veiligheidslek zonder dat wordt beweerd dat het in het wild is uitgebuit. “maar, met de staat gesponsorde dreiging groepen en georganiseerde criminele netwerken aanvallen besturingssystemen als een kwestie van routine, een potentiële fout biedt een startpunt voor een exploit.”Mijn inzet blijft dat Apple dit zal aanpakken in een toekomstige release en patch dit gat.
Volg mij op Twitter of LinkedIn.