Oblíbené aplikace jako TikTok čtou informace v systémové schránce iOS. Mají k ní neomezený přístup

Ačkoli jsou iOS a iPadOS velmi bezpečné systémy, občas se objeví skrytá skulina. Tou aktuální je systémová schránka, kam se ukládají data, která kopírujete skrze funkci kopírovat a vložit.

Systémová schránka slouží v iOS a iPadOS pro odkládání zkopírovaných dat pomocí funkce kopírovat a vložit (angl. Copy & paste). Byla navržena tak, aby do ní mohly přistupovat aplikace třetích stran a číst z ní data. Zní to logicky a chování je navrženo správně.

Bezpečnostní studie oborníků Talal Haj Bakry a Tommy Myska ukázala, že jde o potenciální hrozbu. Přístup do této schránky mají totiž všechny aplikace, a to včetně těch od vývojářů třetích stran.

Oblíbené aplikace jako TikTok čtou informace v systémové schránce iOS. Mají k ní neomezený přístup

Ukázalo se, že mnohé čtou informace z této systémové schránky okamžitě po spuštění. Často k tomu nemají důvodu, jelikož akce „kopírovat a vložit“ ani nebyla zavolána uživatelským rozhraním.

Mezi aplikace, které se takto chovají patří například velmi oblíbený TikTok, 8 Ball Pool anebo Hotels.com. Aplikace načítají data ze schránky speciálním rozhraním v momentě, kdy jsou spuštěny a s daty nadále pracují po celou dobu běhu.

Systémovou schránkou prochází i citlivá data

Toto chování samo o sobě ještě nevykazuje známky zneužití dat. Na druhou stranu netušíme, jakým způsobem aplikace na pozadí s daty ze schránky pracují. Je důležité si uvědomit, že mnozí uživatelé kopírují do systémové schránky například uživatelská jména a hesla, čísla kreditních karet a další citlivé údaje.

V současných operačních systémech iOS 13.3 a iPadOS 13.3 a vyšší mají aplikace neomezený přístup do systémové schránky. Uživatelé se navíc mohou vystavit riziku, když používají univerzální schránku mezi macOS a iOS / iPadOS. Pak mohou aplikace získat přístup ještě k většímu množství dat.

Domníváme se, že není důvod zbytečně panikařit a odinstalovávat všechny aplikace třetích stran. Zatím nebyl popsán známý případ zneužití dat. Je však dobré o této situaci vědět a být obezřetnější, případně některé služby třeba nahradit webovou stránkou, pokud to umožňují.

MacRumors