Security Week 27: приватность буфера обмена в iOS

    Выпуск бета-версии iOS 14 для мобильных устройств iPhone вскрыл проблему с приватностью буфера обмена в некоторых приложениях. Свежая версия ОС предупреждает пользователя, когда приложение читает информацию из буфера. Оказалось, что этим занимается довольно много аппов. Наглядно такое поведение показано в видео ниже: переключаетесь в приложение, и оно тут же копирует информацию.


    В этом контексте на прошлой неделе чаще всего обсуждалось приложение TikTok. Разработчики этого сервиса отреагировали в ожидаемом ключе: это не баг, а фича. Регулярный запрос буфера обмена (не при запуске, а постоянно при вводе текста) был внедрен для идентификации спамеров, постящих один и тот же текст много раз. Антиспам будет убран из приложения со следующим апдейтом. Хотя прямой угрозы безопасности пользовательских данных нет, бесконтрольный доступ несет определенные риски приватности. Кстати, «новость» оказалась не совсем новостью: странное поведение приложений было исследовано еще в марте этого года.


    Видео в твите выше показывает поведение приложения TikTok: когда пользователь набирает сообщение, оно считывает буфер каждый раз при вводе пробела или любого знака пунктуации. В подробном описании проблемы на сайте ArsTechnica объясняется, почему такое поведение приложений может быть опасно. Понятно, что через буфер проходят пароли, платежная информация и другие чувствительные для пользователя данные. Но есть еще одна особенность экосистемы Apple: если смартфон находится недалеко от настольного компьютера на базе macOS, буфер обмена у них общий. Скопированная информация из буфера не стирается и остается там до следующей операции. Выходит, что она доступна разработчикам популярных приложений, и если бы не нововведение в iOS 14, про такое поведение никто бы и не узнал.

    Точнее, знали бы только специалисты. Еще в марте было опубликовано исследование, в котором идентифицированы несколько десятков приложений с похожим поведением. Среди обращающихся к буферу обмена были замечены аппы популярных СМИ, игры, приложения для демонстрации прогноза погоды. Захват буфера обмена иногда используется для удобства пользователя: например, при входе в учетную запись вам отправляется сообщение на почту с кодом. Вы копируете код, и он автоматически «подхватывается» при возврате в приложение.

    Но это совершенно необязательная функциональность, и не совсем понятно, зачем доступ к буферу обмена имеют игры в шарики и гольф. Очевидно, что во всех упомянутых приложениях чтение буфера было реализовано «для удобства пользователя» или, как минимум, для удобства разработчиков. Неизвестно, что дальше происходит со скопированными данными. Если говорить строго о вредоносном ПО, то перехват буфера обмена — стандартная фича для кражи пользовательской информации, иногда напрямую заточенная на распознавание и кражу данных кредитной карты.

    Интересная вскрылась коллизия: буфер обмена по определению должен быть доступен всем. Это чуть ли не последний форпост свободы и взаимодействия в современных мобильных ОС, где чем дальше, тем строже приложения изолируются и друг от друга, и от данных пользователя. Но бездумный доступ к буферу, когда пользователь ничего не собирался копировать и вставлять, — это тоже не самая лучшая практика. Не исключено, что разработчикам придется что-то поменять в своих приложениях. Иначе как минимум с релизом iOS 14 пользователи увидят массу однотипных нотификаций о доступе к буферу обмена.

    Что еще произошло


    Google Analytics можно использовать для сбора и эксфильтрации пользовательских данных. Эксперт «Лаборатории Касперского» разбирает реальную атаку с использованием сервиса аналитики.

    Обновление драйверов Nvidia (версия 451.48 для большинства видеокарт GeForce) закрывает серьезные уязвимости, включая выполнение произвольного кода.


    Интересные результаты исследования базы из миллиарда паролей, собранной из утечек. Всего удалось добыть 168 миллионов уникальных паролей. Меньше 9% паролей присутствуют в утечках только один раз, то есть большинство паролей, скорее всего, используется повторно. Почти треть паролей состоят из букв и не содержат цифры или спецсимволы.

    Статья об атаке NotPetya в 2017 году на компанию по перевозке грузов Maersk со стороны инсайдера-айтишника.

    В конгрессе США продолжается обсуждение законодательства, предусматривающего наличие «бэкдоров» в системах шифрования на пользовательских устройствах. Данный подход критикуется специалистами по криптографии: нельзя ослабить защиту только в интересах правоохранительных органов. Возможность расшифровать данные, пользуясь «секретным ключом», в итоге может оказаться доступна всем.

    25 июня компания Akamai отчиталась о предотвращении одной из крупнейших DDoS-атак. В статье также предложен новый метод измерения мощности атаки: в «пакетах в секунду». Такое нововведение понадобилось из-за свойств атаки: каждая из атакующих систем не пыталась «забить» канал провайдера трафиком, а направляла небольшие пакеты данных размером всего один байт. При этом мусорные запросы отправлялись с высокой интенсивностью: до 809 миллионов запросов в секунду.

    В открытый доступ попала база из 40 миллионов пар «логин-телефон» в мессенджере Telegram. Среди попавших в базу пользователей 30% — из России. Скорее всего, база была собрана путем абьюза штатной функциональности мессенджера, позволяющей найти пользователей по номеру телефона, если он записан в адресной книге.
    «Лаборатория Касперского»
    Ловим вирусы, исследуем угрозы, спасаем мир

    Комментарии 0

    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

    Самое читаемое