Буфер обмена — довольно простой, но при этом многогранный инструмент, который может обернуть себе на пользу любой злоумышленник
Apple довольно категорична в вопросах обеспечения безопасности и чаще всего оказывается на шаг впереди хакеров и злоумышленников, старательно блокируя любые проявления слежки за пользователями. Однако иногда в Купертино оказываются перед дилеммой, когда приходится выбирать из двух зол меньшее. Так было в случае с Siri, которая для того, чтобы обучаться, должна была записывать разговоры пользователей и отправлять на расшифровку, по сути, посягая на их приватность. Несмотря на это, компания смогла найти компромисс, встроив в iOS механизм, позволяющий запретить прослушивание. Но как быть с буфером обмена?
Читайте также: Как iPhone повлиял на безопасность Android-смартфонов
Исследователи из команды Mysk выяснили, что любое приложение для iOS независимо от источника установки по умолчанию обладает неограниченным доступом к буферу обмена, даже если другие привилегии ему недоступны. Через него они могут получать широчайший спектр информации – от учётных данных вроде логинов и паролей, которые чаще всего вводят не по памяти, а именно копируют из текстовых документов или менеджеров паролей, до текущего местоположения пользователя, даже если возможности обращаться к службам геолокации у программы нет.
Чтобы продемонстрировать, насколько легко и просто всё происходит, разработчики создали фиктивное приложение KlipboardSpy, которое для наглядности научили сохранять геолокационную информацию из копируемых фотографий. Поскольку чаще всего пользователи не уделяют метаданным должного внимания, обычно снимки содержат координаты того места, где они были сделаны. Поэтому, если скопировать само изображение, приложения смогут подтянуть из буфера обмена и его, и все метаданные, которыми оно обладает.
Читайте также: Apple пояснила за безопасность своих продуктов
Получается, что даже такой незначительный с точки зрения функциональных возможностей инструмент, как буфер обмена, может становиться средством слежки? Ну, по большому счёту так и есть, потому что любое приложение имеет неограниченный доступ к этому системному разделу. Другое дело, что невозможно запретить им обращаться к буферу и получать оттуда данные, потому что в этом случае потеряется его суть. Но и тут нужно понимать, что приложение, которое получает данные из буфера, должно быть либо запущено само, либо должен быть запущен его виджет. А просто установленное, но неактивное приложение ничего подобного сделать не может.
Но это не значит, что уберечь себя от несанкционированного доступа к данным невозможно. Скорее, напротив, осознание того, что буфер обмена – это книга, которую может раскрыть и прочесть любая программа независимо от того, доверяете вы ей или нет, подтолкнёт вас к тому, чтобы самостоятельно заботиться о собственной безопасности. Ведь всего-то и нужно, что следовать ряду простых советов и ни в коем случае не отступать от них.
Читайте также: Безопасность системы «Войти с Apple» поставили под сомнение
Во-первых, необходимо очень внимательно подходить к вопросу загрузки новых приложений. Возможно, этот совет покажется кому-то слишком очевидным, но, как показывает практика, очень многие пользователи без разбору скачивают из App Store любой софт, не глядя на отзывы либо надеясь, что приложения для формирования генеалогического древа по отпечатку пальца или измерения артериального давления по частоте сердечных сокращений реально работают.
Получить доступ к метаданным снимка может любое приложение, как только вы его скопируете
Во-вторых, нужно удалять метаданные с фотографий, если вы на 100% не уверены, что они вам нужны. Для этого перейдите в приложение «Фото», откройте любой снимок и запустите меню «Поделиться». В открывшемся окне выберите «Параметры» и отключите параметр «Все данные фото». Теперь все метаданные, в том числе координаты съёмки, будут удалены, а приложения не смогут получить к ним доступ ни при каких обстоятельствах.
Читайте также: Разработчикам 70% приложений для iOS плевать на вашу безопасность
В-третьих, старайтесь не хранить логины и пароли в текстовых документах, чтобы не копировать их для авторизации. Для безопасного хранения вам подойдёт менеджер паролей, который сегодня встроен в большинство популярных браузеров, в том числе в Safari. А если такой способ хранения вам не нравится, скачайте приложение вроде 1Password или LastPass, которые имеют расширения для Safari, и просто используйте функцию автозаполнения, не сохраняя конфиденциальные сведения в буфер обмена.
Читайте также
Последние новости