Przejdź na

Aplikacje na iOS mogą kopiować zawartość schowka. Tak po prostu

Backdoory i inwazyjna telemetria w aplikacjach komercyjnych to nic szczególnie zaskakującego. Rzadko kiedy jednak dochodzi do ich upublicznienia, a jeszcze rzadziej są wykrywane w wyniku przypadku. Oto więc historia niecodzienna.

Obraz
Piotr Urbaniak
Piotr Urbaniak

Jeremy Burge, człowiek odpowiedzialny za Emojipedię, zainstalował na swoim iPhonie betę iOS 14. Jedną z nowości w tym systemie, co jest kluczowe dla całej opowieści, stanowi funkcja powiadamiania o synchronizacji zawartości schowka. Wedle założeń ma ona służyć do usprawnienia wycinania, wklejania i kopiowania między Makiem a iPhone'em. Okazało się, że przypadkiem zdemaskowała backdoor w popularnym TikToku.

Burge zwrócił uwagę, że kiedy tylko próbuje cokolwiek w TikToku napisać, pasek powiadomień zaczyna dosłownie szaleć i wyskakuje z częstotliwością stroboskopu. Początkowo, jak relacjonuje, uznał to za błąd wczesnej wersji OS-u. Temat zainteresował go jednak na tyle, aby zacząć samemu poszukiwać wyjaśnienia.

Było i nikt się nie przejął

Natrafił na publikację programisty Tommy'ego Myska z marca 2020 r., który odkrył wówczas istotną dziurę w systemie uprawnień iOS 13.3. Mysk wykazał, że schowek iPhone'a nie jest zabezpieczony w jakikolwiek sposób. Wystarczy odwołać się do odpowiedniej funkcji, a przechowywane w pamięci dane stają otworem. Bez konieczności uzyskania uprawnienia. Po prostu.

Jednocześnie odnalazł kilkadziesiąt aplikacji korzystających z tego "dobrodziejstwa". Był to m.in. TikTok, ale też popularny na wschodzie komunikator Viber czy klient gry PUBG, a nawet apki skojarzone ze znanymi tytułami prasowymi, w tym New York Times, Reuters oraz Wall Street Journal.

Teraz – wyszło na jaw, że oczywista luka z iOS 13 znalazła się także w iOS 14, a TikTok w interwałach 1-3 kliknięcia odpytuje schowek. A w jakim celu? – zapytacie. Przedstawiciele dewelopera odezwali się do Burge'a na Twitterze, zasłaniając błędem w SDK. Obiecali również, że w najkrótszym możliwym czasie dyskusyjna funkcja zostanie usunięta. Czyli klasyczne nikt nic nie wie.

Tak czy inaczej, na szczególną uwagę zasługuje tu coś innego, a mianowicie dlaczego nie zareagował Apple. W końcu tak lubi chwalić się bezpieczeństwem swojego sprzętu; stosuje skomplikowany system enklaw bezpieczeństwa i uprawnień—a pod nosem ma taki bardach. I raczej prędko byśmy o nim znów nie usłyszeli, gdyby nie jeden dodatkowy baner w iOS 14 i dociekliwy facet od emotikonek.

Jeszcze dla jasności: TikTok ani żadna inna z wymienionych apek w wersji na Androida schowka nie kopiuje, a przynajmniej nic o tym nie wiadomo.

Źródło artykułu: www.dobreprogramy.pl
Wybrane dla Ciebie
Aktualizacja KSeF 2.0. Pozwala zgłaszać fałszywe faktury
Aktualizacja KSeF 2.0. Pozwala zgłaszać fałszywe faktury
Nowość w Uberze. Rośnie konkurencja dla Booking
Nowość w Uberze. Rośnie konkurencja dla Booking
Nie odpędzisz się od YT Shorts. Trafi do twojego telewizora
Nie odpędzisz się od YT Shorts. Trafi do twojego telewizora
Zwrot w planach. Windows ma potrzebować mniej RAM-u
Zwrot w planach. Windows ma potrzebować mniej RAM-u
Komisja Europejska nalega. Chodzi o bezpieczeństwo najmłodszych
Komisja Europejska nalega. Chodzi o bezpieczeństwo najmłodszych
Chroń PIN i hasło. Oszuści mają banalną metodę
Chroń PIN i hasło. Oszuści mają banalną metodę
Ważna opcja w Google Maps. Przyda się każdemu
Ważna opcja w Google Maps. Przyda się każdemu
Nie musisz otwierać Photoshopa. Claude zrobi wszystko za ciebie
Nie musisz otwierać Photoshopa. Claude zrobi wszystko za ciebie
Fałszywe SMS-y o e-TOLL. Jak działa oszustwo?
Fałszywe SMS-y o e-TOLL. Jak działa oszustwo?
Niebezpieczny trend na TikToku. Wykorzystują do niego dzieci
Niebezpieczny trend na TikToku. Wykorzystują do niego dzieci
Aktualizacja Google Home. Sterowanie szybsze o 1,5 sekundy
Aktualizacja Google Home. Sterowanie szybsze o 1,5 sekundy
Oszustwo "na wypadek". Seniorka miała oddać 50 tys. zł
Oszustwo "na wypadek". Seniorka miała oddać 50 tys. zł
MOŻE JESZCZE JEDEN ARTYKUŁ? ZOBACZ CO POLECAMY