恶意iOS应用程序可以悄悄地从剪贴板中窃取数据

发表时间:2020-02-29

一位软件工程师说,在任何设备上,都使用复制粘贴将信息从一个位置复制到另一个位置,但是在iOS和iPadOS上,这会使您的数据容易受到攻击。

正如 Threatpost报道的那样 ,德国软件工程师Tommy Mysk认为,在iOS中执行剪切复制粘贴功能是Apple需要修复的漏洞。 问题源于一个事实,即任何应用程序都可以读取临时存储在剪贴板中的数据,而Mysk编写了一个概念验证应用程序,以演示窃取该数据有多么容易。

苹果认为,它使用的复制粘贴系统是所有操作系统的基本功能,而与此同时,只有处于活动状态且在前台的iOS应用程序才能访问剪贴板。 考虑到这一点,Apple认为没有漏洞可以解决。

Mysk的回应 是一个名为KlipboardSpy的应用程序和一个名为KlipSpyWidget的iOS小部件。 在上面的视频中,他展示了即使该应用无法访问定位服务,也可以从复制的照片中悄悄提取GPS位置。 Mysk通过使用小部件并将其设置为始终处于活动状态来绕开需要处于活动状态的应用程序,并使其处于前台。

即使关闭了所有应用程序,每次进入主屏幕时,小部件仍可以读取剪贴板的内容。 下次打开KlipboardSpy应用程序时,它将收集剪贴板中小部件捕获的数据。

该漏洞存在于所有运行iOS和iPadOS 13.3的Apple设备上。 根据Mysk的说法,该解决方案是让Apple引入新的权限,该权限会阻止对剪贴板数据的访问,除非用户明确授予应用查看权限。 作为替代方案,Mysk建议:“只有当用户主动执行粘贴操作时,操作系统才能向应用程序公开粘贴板的内容。”

由于Apple并不将此视为漏洞,因此功能和实现不会改变,但是如果应用程序愿意,显然有机会在这里窃取数据。 鉴于 三年前 iOS用户谈论剪贴板漏洞,Apple几乎没有机会决定在将来采取任何措施来解决它 。

文章来源互联网,尊重作者原创,如有侵权,请联系管理员删除。邮箱:417803890@qq.com / QQ:417803890

微配音

科技口袋

邮箱:417803890@qq.com
QQ:417803890

皖ICP备19001818号
© 2019 copyright www.ls27.cn - All rights reserved

微信公众号:

联系方式

科技口袋

微信小程序:

联系方式

科技口袋