Simple Apple Security Hack: Jeśli masz iPhone i MacBook, odwróć wzrok teraz
kilka dni temu zgłosiłem ujawnienie przez badaczy bezpieczeństwa Talala Haj Bakry i Tommy 'ego Myska, że schowki na iPhone’ ach i iPadach są otwarte na eksploatację przez „złośliwe” aplikacje na tych urządzeniach, aby „ukraść” wszelkie dane skopiowane do schowka. Apple uważa, że jest to po prostu funkcja kopiowania i wklejania działa normalnie, ale wydaje się, że otwiera lukę w zabezpieczeniach, która może zaskoczyć użytkowników.
najwyraźniej ryzyko wykracza poza iPhone ’ y i iPady. Naukowcy powrócili teraz, mówiąc mi ” zasugerowaliśmy w naszym artykule, że Uniwersalny Schowek może być również dotknięty tą podatnością na podsłuchiwanie tego, co użytkownicy kopiują na swoich komputerach Mac.”I to byłby problem. Ponieważ podczas gdy kopiowanie i wklejanie może być stosunkowo rzadkie na urządzeniu z systemem iOS,na Macu jest to codzienna praca.
ryzyko powstaje, ponieważ, jak wyjaśnia Apple, możesz użyć uniwersalnego schowka „do kopiowania i wklejania między urządzeniami Apple—możesz kopiować treści, takie jak tekst, obrazy, Zdjęcia i filmy na jednym urządzeniu Apple, a następnie wklejać zawartość na innym.”
” otrzymaliśmy wiele próśb na ten temat”, powiedzieli mi naukowcy 26 lutego”, więc dodaliśmy film ilustrujący, jak aplikacja iPhone lub iPad może podsłuchiwać w schowku na komputerze Mac.”Oto ten film:
” przekazaliśmy to Apple 2 stycznia 2020 r. ” – wyjaśnili naukowcy na swoim oryginalnym blogu. „Po przeanalizowaniu zgłoszenia firma Apple poinformowała nas, że nie widzi problemu z tą luką.”Skontaktowałem się z Apple w celu uzyskania dalszych komentarzy.
ryzyko wymaga aplikacji pierwszoplanowej na urządzeniu z systemem iOS. Naukowcy „zwiększyli prawdopodobieństwo, że aplikacja może odczytać tablicę”, tworząc widżet w widoku dzisiaj”, a tym samym rozszerzając okno luki.”
sam blog koncentruje się na ryzyku, że złośliwy aktor może stworzyć aplikację do szpiegowania schowka, a następnie uzyskać dostęp do metadanych dołączonych do zdjęcia zrobionego na urządzeniu. Jak wyjaśnia Sophos, ” złośliwe aplikacje mogą wykorzystać je do ustalenia lokalizacji użytkownika, nawet jeśli ten użytkownik zablokował udostępnianie lokalizacji aplikacji.”Jednak ryzyko, że dane skopiowane na komputerze Mac mogą zostać wyniuchane przez złośliwą aplikację na dołączonym urządzeniu z systemem iOS, wydaje się bardziej problemem z perspektywy exploita.
rada dla Apple od naukowców pozostaje taka sama: Usuń nieograniczony dostęp do schowka—ustawienia prywatności w najnowszych wersjach systemu iOS mogą obejmować ustawienie przyznawania dostępu do schowka przez aplikację. Lub, jako alternatywę, ograniczyć dostęp do schowka Do”, gdy użytkownik aktywnie wykonuje operację wklejania.”
jak powiedziałem w moim oryginalnym raporcie, jest to tylko potencjalna dziura bezpieczeństwa bez twierdzenia, że została wykorzystana na wolności. „ale ze sponsorowanymi przez państwo grupami zagrożeń i zorganizowanymi sieciami przestępczymi, które rutynowo atakują systemy operacyjne, każda potencjalna wada stanowi punkt wyjścia dla exploita.”Mój zakład pozostaje, że Apple zajmie się tym w przyszłym wydaniu i załatać tę dziurę.
zapraszam na Twittera lub LinkedIn.