Исследователи кибербезопасности Талал Хадж Бакри и Томми Миск обнаружили лазейку на iPhone и iPad, позволяющую получить доступ к данным пользователей. Потенциальный злоумышленник посредством вредоносной программы и буфера обмена может «украсть» такую информацию, как пароли и местоположение.
Для демонстрации уязвимости специалисты сделали демо-приложение KlipboardSpy и виджет KlipSpyWidget. У программы отсутствовал доступ к службам геолокации, но она смогла получить данные через копируемые фотографии. Бакри и Микс объяснили это тем, что «Камера» на iPhone и iPad запоминает локации, где был сделан каждый снимок.
Любая скопированная информация попадает в буфер обмена, к которому у всех «яблочных» приложений имеется неограниченный доступ. В этом и заключается суть промежуточного хранилища данных, но исследователи опасаются, что потенциальная дыра в безопасности может стать реальной проблемой. Они предлагают Apple запретить приложениям неограниченный доступ к буферу обмена без согласия пользователя либо наложить на него ограничение в случае, «когда пользователь активно выполняет операцию вставки».
Бакри и Миск сообщили компании о находке 2 января. Но проанализировав материалы, Apple ответила, что «не видит проблемы с этой уязвимостью».
Ранее NEWS.ru рассказал, что число мобильных пользователей в России, атакованных сталкерским ПО, в 2019 году увеличилось в три раза по сравнению с предыдущим годом. Подобные шпионские программы позиционируется как легальные и позволяют получить доступ к личным данным, хранящимся на смартфонах и планшетах.
