Pasteboard iOS Sepenuhnya Transparan dan Apple Mengatakan Tidak apa-apa

• Aplikasi apa pun berpotensi mengakses informasi yang disimpan di papan tulis iOS tanpa harus memiliki izin untuk melakukannya.
• Informasi dapat mencakup dokumen, data lokasi, kata sandi, IBAN, audio, URL, dan lainnya.
• Apple telah menerima laporan tentang ini tetapi merespons dengan mengatakan bahwa tidak ada yang salah dengan fungsi ini.

Peneliti di Mysk melaporkan masalah yang mengkhawatirkan terkait papan iklan yang digunakan di iOS dan iPadOS, yang memungkinkan satu aplikasi untuk menyalin data yang telah disimpan di sana oleh yang lain. Karena papan tulis berskala sistem dan tidak bekerja pada batasan level aplikasi apa pun, pengguna dapat dikompromikan data sensitif mereka. Contoh yang diberikan oleh Mysk adalah mengambil foto menggunakan aplikasi Camera, yang menyalinnya ke papan tulis. Ketika aplikasi lain diluncurkan, aplikasi ini berpotensi mengakses informasi lokasi yang terdapat dalam metadata gambar yang diambil pengguna sebelumnya. Tidak diperlukan persetujuan pengguna untuk ini, dan pada kenyataannya, pengguna kemungkinan besar tidak akan menyadarinya sama sekali.

Sumber: Blog Mysk

Masalah ini mempengaruhi semuanya Apple perangkat yang menjalankan iOS dan iPadOS v13.3, yang merupakan versi terbaru yang tersedia. Untuk menunjukkan masalahnya kepada Apple, Mysk menciptakan alat sederhana bernama "KlipboardSpy", dan yang dapat mengambil data dari papan iklan iOS tanpa batasan, sama seperti aplikasi iOS lainnya yang berpotensi. Dengan menggunakan alat ini, mereka dapat menyimpulkan data berikut dengan hanya mengambilnya dari papan pengumuman:

• Koordinat GPS
• Stempel waktu foto
• Perangkat yang digunakan untuk foto itu
• Perangkat yang digunakan sekarang
• Versi OS yang digunakan selama pengambilan
• Versi OS yang digunakan saat ini

Tujuan membandingkan versi iOS dan ID perangkat adalah untuk menentukan keandalan data lokasi. Gambar terbaru yang telah diambil oleh perangkat saat ini pada versi iOS terbaru dapat memberikan data lokasi yang dapat diandalkan. Jika tidak, mereka dapat disimpan di papan tulis yang berasal dari pengguna lain yang mengirimnya melalui aplikasi obrolan atau diunduh dari internet.

Sementara para peneliti fokus pada mencari tahu lokasi seseorang dalam demonstrasi mereka, papan tulis mungkin berisi data sensitif lainnya juga. Contohnya termasuk seluruh file seperti PDF dan spreadsheet, URL yang dikunjungi sebelumnya, IBAN, email, kontak, catatan, file audio, dan bahkan kata sandi. Untuk membuat keadaan menjadi lebih buruk, Apple telah menyatukan papan-papan iOS dan macOS beberapa tahun yang lalu, jadi jika pengguna telah mengaktifkan "Clipboard Universal”Aplikasi iOS berpotensi mencuri data macOS juga.

Anehnya, Apple menerima pemberitahuan Mysk dengan kode "Klipboard Spy" yang disertakan pada 2 Januari 2020. Setelah menganalisis pengiriman, mereka menjawab dengan mengatakan bahwa mereka tidak melihat ada yang salah di sana. Apple tidak menerima bahwa ada risiko privasi apa pun, karena mereka merasa bahwa aplikasi apa pun yang mereka sertifikasi untuk masuk ke App Store tidak terlibat dalam pengambilan data jahat dari papan iklan, dan hanya mengakses info bila diperlukan untuk meningkatkan kegunaan dan kegunaannya. Dengan cara apa pun Anda mendekati ini, iOS memberi pengguna kontrol granular atas izin akses data untuk setiap aplikasi, tetapi cara papan tulis bekerja mengalahkan tujuan memiliki pengaturan ini.