Пароли, биткоин-адреса и всё остальное в буферах обмена можно забрать у вас — подробности в сокращённом переводе статьи Arstechnica
В марте исследователей встревожило обнаруженное ими нарушение конфиденциальности более чем четырьмя десятками iOS-приложений, включая TikTok (китайская соцсеть для обмена видео, покорившая интернет). Несмотря на обещание сделать работу над ошибками, TikTok всё ещё имеет доступ к некоторым наиболее чувствительным данным пользователей Apple — таким как пароли, адреса криптовалютных кошельков, ссылки на сброс учётных записей и личные сообщения. Еще 53 приложения, выявленные в марте, тоже не оставили подобную практику.
Вторжение в частную жизнь — результат чтения приложениями текстов, которые случайно оказались в буферах обмена, используемых компьютерами и другими устройствами для хранения данных из менеджеров паролей и почтовых программ.
Исследователи Талал Хадж Бакри и Томми Миск обнаружили, что, не имея на то прав, приложения намеренно вызывают интерфейс программирования iOS, который извлекает текст из буфера обмена пользователя.
Во многих случаях скрытое считывание не ограничено данными, хранящимися на локальном устройстве. Если iPhone или iPad использует тот же идентификатор Apple ID, что и другие устройства Apple, и находится примерно в 10 футах (чуть более трёх метров — прим. ред.) друг от друга, все они имеют общий универсальный буфер обмена. Поэтому содержимое может быть скопировано из приложения одного устройства и вставлено в приложение на другом.
Это открывает возможность приложению на iPhone считывать конфиденциальные данные на планшетах других подключённых устройств. Такими данными могут быть биткойн-адреса, пароли или сообщения электронной почты, которые временно хранятся в буфере обмена ближайшего компьютера Mac или iPad. Несмотря на работу на отдельном устройстве, приложения iOS могут легко считывать чувствительные данные, хранящиеся на других машинах.
«Это очень, очень опасно. Эти приложения читают буфер обмена без какой-бы то ни было цели. Приложение, у которого нет текстового поля для ввода текста, не имеет причин читать текст из буфера обмена», — сказал Миск о беспорядочном считывании данных из буфера обмена приложениями.
Видео ниже демонстрирует универсальное чтение буфера обмена.
TikTok в центре внимания
СМИ сосредоточили особое внимание на TikTok в значительной степени из-за его огромной базы активных пользователей (сообщается, что она составляет 800 млн, из них только в первой половине 2018 года приложение было установлено 104 млн раз на iOS, что делает его самым загружаемым приложением за этот период).
TikTok привлёк к себе внимание ещё и по другим причинам. В марте провайдер видеохостинга сообщил британскому изданию The Telegraph, что прекратит слежку в ближайшие недели. Миск сказал, что приложение не прекращало мониторинг никогда. Более того, выяснилось, что чтение буфера обмена происходит каждый раз, когда пользователь вводит знак препинания или нажимает пробел, составляя комментарий. Это означает, что чтение буфера обмена может происходить примерно каждую секунду, что гораздо быстрее, чем показало мартовское исследование, говорившее, что мониторинг происходит при открытии приложения.