Simple Apple Security Hack: Hvis du har en iPhone og MacBook, se væk nu
for et par dage siden rapporterede jeg om offentliggørelsen af sikkerhedsforskere Talal Haj Bakry og Tommy Mysk, at udklipsholdere på iPhones og iPads er åbne for udnyttelse af “ondsindede” apps på disse enheder til at “stjæle” data kopieret til udklipsholderen. Apple er af den opfattelse, at dette simpelthen er copy and paste-funktionen, der fungerer som normalt, men det ser ud til at åbne en sikkerhedssårbarhed, der kan overraske brugerne.
tilsyneladende strækker risikoen sig ud over iPhones og iPads. Forskerne er nu vendt tilbage og fortæller mig “vi antydede i vores artikel, at det universelle udklipsholder også kan blive påvirket af denne sårbarhed over for aflytning af, hvad brugerne kopierer på deres Mac’ er.”Og det ville være et problem. Fordi, mens brugen af copy and paste kan være relativt sjældent på en iOS-enhed, det er dagligdags forretning som sædvanlig på en Mac.
risikoen opstår, fordi du, som Apple forklarer, kan bruge det universelle Udklipsholder “til at kopiere og indsætte mellem dine Apple—enheder-du kan kopiere indhold såsom tekst, billeder, fotos og videoer på en Apple-enhed og derefter indsætte indholdet på en anden.”
” vi fik mange anmodninger om dette punkt, “fortalte forskerne mig den 26.februar,” så vi tilføjede en video, der illustrerer, hvordan en iPhone-eller iPad-app kan aflytte på udklipsholderen på Mac.”Her er den video:
“vi sendte dette til Apple den 2.januar 2020,” forklarede forskerne i deres originale blog. “Efter at have analyseret indsendelsen informerede Apple os om, at de ikke ser et problem med denne sårbarhed.”Jeg har kontaktet Apple for yderligere kommentarer.
risikoen kræver en forgrundsapp på iOS-enheden. Forskerne ” øgede sandsynligheden for, at appen kan læse tavlen “ved at oprette en kontrol i visningen i dag,” dermed udvide sårbarhedsvinduet.”
selve bloggen fokuserer på risikoen for, at en ondsindet skuespiller kan lave en app til at spionere på udklipsholderen og derefter få adgang til metadataene, der er knyttet til et foto taget på enheden. Som Sophos forklarede, ” en ondsindet apps kunne udnytte det til at finde ud af en brugers placering, selv når denne bruger har låst deling af appplacering.”Risikoen for, at data, der kopieres på en Mac, kan blive sniffet ud af en ondsindet app på en vedhæftet iOS-enhed, synes imidlertid mere af et problem fra et udnyttelsesperspektiv.
rådgivningen til Apple fra forskerne forbliver den samme: fjern ubegrænset adgang til udklipsholderen—privatlivsindstillingerne i de nyeste versioner af iOS kan omfatte en indstilling til at give udklipsholder adgang via app. Eller, som et alternativ, begrænse udklipsholder adgang til ” når brugeren aktivt udfører en pasta operation.”
som jeg sagde i min oprindelige rapport, er dette kun et potentielt sikkerhedshul uden påstand om, at det er blevet udnyttet i naturen. “men med statsstøttede trusselgrupper og organiserede kriminelle netværk, der angriber operativsystemer som et spørgsmål om rutine, giver enhver potentiel fejl et udgangspunkt for en udnyttelse.”Mit væddemål er, at Apple vil løse dette i en fremtidig udgivelse og lappe dette hul.
Følg mig på Facebook eller LinkedIn.