Enkel Apple Security Hack: Om du har en iPhone och MacBook, titta bort nu
för några dagar sedan rapporterade jag om avslöjandet av säkerhetsforskare Talal Haj Bakry och Tommy Mysk att Urklipp på iPhones och iPads är öppna för exploatering av ”skadliga” appar på dessa enheter för att ”stjäla” alla data som kopierats till urklippet. Apple anser att detta helt enkelt är Kopiera och klistra in funktionen som normalt, men det verkar öppna en säkerhetsproblem som kan överraska användare.
tydligen sträcker sig risken utöver iPhones och iPads. Forskarna har nu återvänt och berättade för mig ” vi antydde i vår artikel att Universal Clipboard också kan påverkas av denna sårbarhet för att avlyssna vad användare kopierar på sina Mac-datorer.”Och det skulle vara ett problem. Eftersom användningen av kopiera och klistra in kan vara relativt sällsynt på en iOS-enhet, är det vardagligt som vanligt på en Mac.
risken uppstår eftersom du, som Apple förklarar, kan använda Universal Clipboard ”för att kopiera och klistra in mellan dina Apple—enheter-du kan kopiera innehåll som text, bilder, foton och videor på en Apple-enhet och sedan klistra in innehållet på en annan.”
”vi fick många förfrågningar om denna punkt”, berättade forskarna för mig den 26 februari”, så vi lade till en video som illustrerar hur en iPhone-eller iPad-app kan avlyssna på urklippet på Mac.”Här är den videon:
”vi skickade detta till Apple den 2 januari 2020”, förklarade forskarna i sin ursprungliga blogg. ”Efter att ha analyserat inlämningen informerade Apple oss om att de inte ser ett problem med denna sårbarhet.”Jag har kontaktat Apple för ytterligare kommentarer.
risken kräver en förgrundsapp på iOS-enheten. Forskarna ” ökade sannolikheten för att appen kan läsa tavlan ”genom att skapa en widget i today-vyn” och därmed utöka sårbarhetsfönstret.”
bloggen själv fokuserar på risken att en skadlig skådespelare kan skapa en app för att spionera på Urklippet och sedan komma åt metadata som är kopplade till ett foto som tagits på enheten. Som Sophos förklarade, ” en skadlig apps kan utnyttja det för att räkna ut en användares plats även när användaren har låst app platsdelning.”Risken att data som kopieras på en Mac kan snusas ut av en skadlig app på en bifogad iOS-enhet verkar dock vara mer av ett problem ur ett exploateringsperspektiv.
rådet till Apple från forskarna förblir detsamma: ta bort obegränsad åtkomst till urklippet—sekretessinställningarna i de senaste versionerna av iOS kan innehålla en inställning för att ge urklippstillträde via app. Eller, som ett alternativ, begränsa urklippsåtkomst till ” när användaren aktivt utför en klistra in.”
som jag sa i min ursprungliga rapport är detta bara ett potentiellt säkerhetshål utan krav på att det har utnyttjats i naturen. ”men med statligt sponsrade hotgrupper och organiserade kriminella nätverk som attackerar operativsystem som en fråga om rutin, ger eventuella fel en utgångspunkt för ett utnyttjande.”Min satsning kvarstår att Apple kommer att ta itu med detta i en framtida release och lappa detta hål.
Följ mig på Twitter eller LinkedIn.