När det gäller datasekretess och säkerhet undviker Apple sällan att ta kredit för kryptering och säkerhet. Till och med inom teknikindustrin berömmer analytiker då och då företaget för sitt relativt säkra operativsystem jämfört med sina direkta konkurrenter. Men nu kan brister i ekosystemet, som utsätts av två forskare, göra det möjligt att kränka personuppgifter som kommer in i AppleiPad och iPhone.
Enligt Talal Haj Bakry och Tommy Mysk, när en användare kopierar annan data, kommer den att sparas av Apples offentliga skrivtavla (allmänt känd som en Urklipp). Denna information lagras tillfälligt i enhetens minne som är tillgängligt för alla applikationer, alltså risken för att avslöja personlig information såsom användarens GPS-koordinater, lösenord och bankinformation.
“IOS och iPad-operativsystemapplikationer har obegränsad åtkomst till hela systemets whiteboard”, konstaterade duon i ett inlägg som publicerades på måndag. De lade till genom att säga, “En användare kan omedvetet exponera sin exakta plats för applikationen genom att helt enkelt kopiera foton som tagits av standardkameraprogrammet till den offentliga whiteboard. Genom GPS-koordinaterna i den inbäddade bildegenskapen, vilken applikation som helst som används av användare efter att ha kopierat sådana foton till brädet kan läsa platsinformation som är lagrad i bildegenskaperna. “Mysk anser att detta är Apple-säkerhetsproblem.
För att illustrera hur människor kan få tillgång till information publicerar Mysk och Bakry en video på sin blogg där forskare skapar ett rogue proof-of-concept (PoC) -applikation som heter KlipboardSpy och en iOS-widget som heter KlipSpyWidget för att visa hur data lagras på en offentlig whiteboard åtkomst av applikationen. Du kan se videon här:
.embed-container {position: relativ; polstring-botten: 56,25%; höjd: 0; översvämning: dold; maxbredd: 100%; }. embed-container iframe,. embed-container object,. embed-container embed {position: absolut; ovan: 0; vänster: 0; bredd: 100%; höjd: 100%; }
Bakry och Mysk avslöjade senare i sitt inlägg att de först skickade den här artikeln och källkoden till Apple den 2 januari 2020. “Efter att ha analyserat inlämnandet berättade Apple att de inte såg något problem med denna sårbarhet,” sade de. I sin forskning nämndes också att “Apple- och iPad-operativsystem är utformade för att tillåta applikationer att läsa whiteboardtavlan endast när applikationen är aktiv i förgrunden”. Forskarna varnar för att den här applikationen alltid kan komma åt när app-widgeten läggs till AppleView Today.
I det avslutande avsnittet av deras inlägg föreslog båda att Apple inte skulle ha “obegränsad åtkomst till styrelsen utan användarens samtycke.” “Eller operativsystemet kan bara exponera whiteboardinnehåll för applikationen när användaren aktivt utför en klistraperation.
