Новая надстройка безопасности, выявляющая приложения, которые копируют себе содержимое буфера обмена на смартфонах Apple, позволила обнаружить проекты, потенциально занимающиеся слежкой за пользователем. Среди них оказался TikTok (который пообещал убрать отслеживание буфера), а ИБ-специалист Томми Миск обнаружил ещё 53 приложения, которые могут допускать утечку конфиденциальных данных.

Бета-версия iOS 14 оповещает пользователя о том, когда какое-либо приложение залезло в буфер обмена, скопировало то, что он содержит, и вставило эти данные в скрытую форму (с возможной отправкой на сервер). TikTok копировал буфер постоянно — после каждого нажатия клавиши. По словам Миска, этим занимается не только TikTok, но и другие — в том числе издания Fox News, New York Times, Wall Street Journal, игры Bejeweled, Fruit Ninja и PUBG Mobile, социальные сервисы Viber, Weibo и Zoosk, утилиты AccuWeather, DAZN и Overstock, редактор фотографий Pixelmator. 

Некоторые разработчики уже запретили своим приложениям читать буфер обмена или изменили сценарий чтения (например, Pixelmator забирает только данные изображения).

Пока неясно, как ведут себя те же самые приложения на Android-смартфонах, где нет мониторинга доступа к буферу обмена. Можно ожидать, что Google встроит в Android аналогичную надстройку безопасности, а до этого времени у разработчиков есть возможность убрать слежку из своих приложений, чтобы не пострадала их репутация. До этого момента опасно копировать текст, который содержит чувствительные сведения (например, переписку, логины и пароли или номера банковских карт).




iGuides в Telegram — t.me/igmedia
iGuides в Яндекс.Дзен — zen.yandex.ru/iguides.ru

Источник:

Ars Technica Ars Technica