- Varje applikation har potential att få åtkomst till information lagrad på iOS-whiteboard utan att behöva ha tillstånd att göra det.
- Information kan inkludera dokument, platsdata, lösenord, IBAN, ljud, webbadresser och mer.
- Apple har fått en rapport om detta men svarade med att säga att det inte är något fel med den här funktionen.
Forskare på Mysk rapporterar ett alarmerande problem relaterat till skyltar som används på iOS och iPadOS, vilket gör att en applikation kan kopiera data som har lagrats där av en annan. Eftersom whiteboardtavlan är systemskalig och inte fungerar på några tillämpningsnivågränser, kan användare kompromissa med sina känsliga data. Ett exempel från Mysk är att ta foton med appen Camera, som kopierar dem till tavlan. När en annan applikation startas har denna applikation möjlighet att komma åt platsinformation som finns i bildmetadata som användaren tidigare tagit. Det krävs inget användargodkännande för detta, och faktiskt kommer användare sannolikt inte att inse det alls.
Källa: Mysk BlogDetta problem påverkar alla Apple-enheter som kör iOS och iPadOS v13.3, som är de senaste versionerna som finns tillgängliga. För att visa problemet för Apple skapade Mysk ett enkelt verktyg som heter “KlipboardSpy”, och som kan hämta data från iOS-skyltar utan begränsningar, precis som andra potentiella iOS-applikationer. Med hjälp av detta verktyg kan de härleda följande data genom att helt enkelt hämta dem från anslagstavlan:
- GPS-koordinater
- Fototidsstämpel
- Enheten som används för fotot
- Enheten används nu
- OS-version som används under hämtning
- Den nuvarande OS-versionen
Syftet med att jämföra iOS- och enhets-ID-versioner är att bestämma tillförlitligheten för platsdata. De senaste bilderna som tas av enheten för närvarande i den senaste iOS-versionen kan ge tillförlitliga platsdata. Om inte kan de lagras på en whiteboard som kommer från andra användare som skickar den via chattprogrammet eller laddas ner från internet.
Medan forskarna fokuserar på att ta reda på var någon befinner sig i sin demonstration, kan tavlan också innehålla andra känsliga uppgifter. Exempel inkluderar alla filer som PDF-filer och kalkylblad, tidigare besökta URL: er, IBAN, e-post, kontakter, anteckningar, ljudfiler och till och med lösenord. För att göra saken värre har Apple satt ihop iOS- och macOS-kort för några år sedan, så om användaren har aktiverat “Universal Urklipp“IOS-applikationen kan också stjäla macOS-data.
Konstigt nog fick Apple ett meddelande från Mysk med “Klipboard Spy” -koden som ingick den 2 januari 2020. Efter att ha analyserat leveransen svarade de med att säga att de inte såg något fel där. Apple accepterar inte att det finns några sekretessrisker, eftersom de anser att alla applikationer som de certifierar för att komma in i App Store inte är involverade i att hämta skadlig data från skyltar, och bara får information om det behövs för att öka dess användbarhet och användbarhet. Oavsett vilket sätt du närmar dig detta ger iOS användarna en detaljerad kontroll över åtkomstbehörigheter för data för varje applikation, men hur tavlan fungerar besegrar syftet med att ha den här inställningen.
