Следующая новость
Предыдущая новость

Разработчики LinkedIn говорят, что отслеживание содержимого буфера обмена в iOS неопасно

04.07.2020 4:02
Разработчики LinkedIn говорят, что отслеживание содержимого буфера обмена в iOS неопасно

Рекомендуем почитать:

Xakep #254. Android: атака и защита

  • Содержание выпуска
  • Подписка на «Хакер»

В бета-версии iOS 14, полноценный релиз которой запланирован на осень текущего года, появилась новая функция, предупреждающая пользователя, если какое-то приложение проверяет содержимое буфера обмена.

При помощи новой функции на прошлой неделе пользователи заметили, что китайское мобильное приложение TikTok, через короткие промежутки времени, проверяет содержимое буфера обмена. Разработчики TikTok поспешили объяснить, что это связано с работой механизма обнаружения мошенничества, а компания никогда не похищала информацию из буферов обмена пользователей. При этом в TikTol пообещали в ближайшем будущем избавиться от этой функциональности.

Теперь же пользователи обнаружили, что аналогичное поведение демонстрирует и приложение LinkedIn для iOS. Вчера разработчик портала Urspace.io опубликовал в Twitter видео, которое демонстрирует, как LinkedIn читает содержимое буфера обмена после каждого нажатия клавиши, а также получает доступ к функции общего буфера, которая позволяет iOS-приложениям читать содержимое из буфера обмена macOS. Исследователь подчеркнул, что это не баг, а нормальное поведение приложения.

LinkedIn is copying the contents of my clipboard every keystroke. IOS 14 allows users to see each paste notification.
I’m on an IPad Pro and it’s copying from the clipboard of my MacBook Pro.
Tik tok just got called out for this exact reason. pic.twitter.com/l6NIT8ixEF

— Don 𝘧𝘳𝘰𝘮 urspace.io (@DonCubed) July 2, 2020

Сегодня, 3 июля 2020 года, вице-президент LinkedIn Эрран Бергер выступил с официальным заявлением от лица компании и пообещал исправить ситуацию. Он пишет, что LinkedIn в любом случае не хранит и не передает куда-либо содержимое буфера обмена, а данная функция лишь проверяла, соответствует ли введенный в текстовое поле контент, содержимому буфера. Очевидно, речь тоже идет о защитной функциональности, ведь малварь нередко подменяет содержимое буферов обмена пользователей, например, заменяя адрес настоящий криптовалютного кошелька на кошелек злоумышленников.

Hi @DonCubed. Appreciate you raising this. We've traced this to a code path that only does an equality check between the clipboard contents and the currently typed content in a text box. We don't store or transmit the clipboard contents.

— Erran Berger (@eberger45) July 3, 2020

Источник

Последние новости