| 24 февраля 2020 г. — 2:52 PT
Новая демонстрация от исследователей Mysk проливает свет на свободный, неограниченный доступ всех приложений к буферу обмена iOS.
В видео разработчики создали демонстрационное приложение, которое просто выводит информацию, полученную из буфера обмена. Когда пользователь копирует изображение, приложение может немедленно увидеть содержимое изображения и метаданные, такие как местоположение, где была сделана фотография. Это становится несколько более зловещим, когда демонстрация показывает, что установленные виджеты также могут бесшумно собирать все данные, скопированные в буфер обмена, без ведома пользователя.
То, что показано в этом видео, не является чем-то фундаментально новым, но это хорошее напоминание о том, что у всех изолированных сред есть лазейки.
В конце концов, буфер обмена предназначен для бесшумного чтения любым приложением. Многие приложения используют этот факт для создания функций; например, когда вы копируете изображение в буфер обмена, приложение социальной сети может обнаружить это и предложить прикрепить его к сообщению в окне составления. Аналогично, если вы копируете ссылку Reddit и открываете Apollo, Apollo может прочитать URL из буфера обмена и автоматически перейти к месту назначения в приложении.
Однако, безусловно, злонамеренное приложение может таким образом тайно получить некоторую личную информацию. Это хорошее напоминание о том, что все, что вы копируете и вставляете, может быть прочитано и сохранено любым приложением в системе, включая виджеты режима «Сегодня», без вашего ведома.
Любое хорошо зарекомендовавшее себя приложение никогда не будет делать этого, но в системе нет индикатора того, что буфер обмена был прочитан, поэтому вы не можете знать, происходит ли это. Благодаря универсальному буферу обмена, приложение iOS также может читать потенциально конфиденциальный контент, скопированный на Mac.
Mysk заявили, что сообщили об этой ситуации Apple; компания заявила, что не считает это риском для безопасности. Функция, безусловно, работает так, как задумано, поэтому здесь нет ошибки.
Можно утверждать, что Apple, возможно, следовало бы предложить в настройках конфиденциальности iOS переключатели для предоставления приложениям доступа к буферу обмена, как это уже существует для системных служб, таких как «Местоположение», «Контакты», «Bluetooth» и других. В то время как пользователь должен явно открыть приложение, чтобы дать ему возможность получить доступ к содержимому буфера обмена, виджеты iPadOS просто размещаются на главном экране, поэтому, вероятно, имеет смысл, чтобы iOS применяла более строгий контроль специально для виджетов.
Хотели бы вы большей прозрачности относительно того, когда приложения считывают данные из буфера обмена? Дайте нам знать ваше мнение в комментариях.