Niestandardowe klawiatury dla iOS mogą wykradać hasła użytkowników

Premiera najnowszych urządzeń Apple, a także systemu iOS 8 obiegła świat szerokim echem. Pod wieloma względami nie byliśmy świadkami rewolucji, ale firmie nie można odmówić ewolucji i oferowania swoim użytkownikom kolejnych funkcji. Jedną z nich jest możliwość wyboru klawiatury innej niż domyślna w najnowszym systemie iOS. Niestety, oprócz zalet, ma to także swoje wady. Inne klawiatury mogą bowiem przechwytywać wpisywane przez nas dane, a następnie wysyłać je na serwery twórcy. Dotyczy to zarówno danych nieistotnych jak i np. haseł użytkownika.

Wprowadzenie tej funkcji zostało zapowiedziane już podczas konferencji WWDC skierowanej do deweloperów, jaka miała miejsce na początku czerwca. Na reakcję znanych firm nie trzeba było długo czekać. Zaledwie dwa dni później prace nad klawiaturami dla iOS zapowiedzieli twórcy popularnych rozwiązań SwiftKey oraz Fleksy. Obecnie obie z nich są już dostępne dla użytkowników tego systemu w najnowszej wersji. Początkowo użytkownicy borykali się z problemem wpisywania kodu blokady na niestandardowych klawiaturach, ale na szczęście firma Apple szybko wypuściła aktualizację poprawiającą zarówno tę, jak i szereg innych usterek.

Problem tego rozwiązania polega na tym, że użytkownik instalując klawiaturę inną niż domyślna, daje jej dostęp do wielu różnych danych. Wpisywanie tekstu to tylko podstawowa możliwość, która zdecydowanie nie jest żadnym czynnikiem wyróżniającym i nie będzie atutem branym pod uwagę podczas wyboru tego typu oprogramowania. Równie istotna jest tu komunikacja sieciowa, która umożliwia wysyłanie pobranych od użytkownika danych na zewnętrzne serwery. W swoim poradniku App Extension Programming Guide firma zdecydowanie powstrzymuje deweloperów przed rejestrowaniem danych wpisywanych przez użytkowników w stopniu większym, niż to wymagane np. do predykcji i realizacji funkcji, o jakich użytkownik został jawnie powiadomiony. Rzecz w tym, że autor aplikacji może te zalecenia zignorować, co robią zresztą także znane i teoretycznie sprawdzone firmy.

Zwiększenie możliwości systemu niestety w tym wypadku ma swoją cenę. W ustawieniach użytkownicy mogą jedynie włączyć klawiatury firm trzecich, nie są jednak w stanie zarządzać ich dostępem do sieci, a w efekcie nie wiedzą, co one tak naprawdę robią. Taki sam problem związany z bezpieczeństwem prywatnych danych od dawna istnieje w Androidzie, który również umożliwia instalowanie dodatkowych klawiatur, oraz swobodne przełączanie się między nimi w dowolnym momencie wprowadzania tekstu. Jeszcze większym zagrożeniem jest po prostu wygoda użytkownika. Coraz więcej takich aplikacji oferuje jawną synchronizację danych na serwerach producenta. Oczywiście jest to wygodne, otrzymujemy bowiem dostęp do tych samych, spersonalizowanych słowników na wielu urządzeniach, niemniej klawiatura nie myśli i nie wie, co tak naprawdę wpisujemy – do takiego słownika może więc trafić np. często wpisywane hasło, które potem będzie nawet podpowiadane i tym samym mocno eksponowane podczas wprowadzania tekstu.

Póki co nie są znane przypadki naruszeń prywatności i danych użytkowników na platformie Apple. Decydując się na korzystanie z dodatkowej klawiatury musimy zachować maksymalną ostrożność: podobnie jak na drodze każdy kierowca jest potencjalnym zabójcą, tak tutaj każdy producent może być potencjalnym atakującym próbującym wykraść wpisywane przez nas dane. Pamiętajmy również, że synchronizacja ma swoje słabe punkty. W przypadku ataku na serwery producenta, cyberprzestępcy mogą uzyskać dostęp do wszystkich naszych danych. Sugerujemy więc przełączanie się na standardową klawiaturę systemową w razie potrzeby wpisania loginu czy też hasła do jakiejkolwiek usługi.