Приложения для iOS могут получить доступ к любым данным, сохранённым в буфере обмена iPhone или iPad. То есть хакеры могут похитить GPS-координаты пользователя, его учётные данные или финансовую информацию.
Программист Томми Миск разработал PoC-приложение KlipboardSpy и виджет KlipSpyWidget для iOS. Они демонстрируют, как любое установленное на iOS-гаджете ПО способно получить доступ к данным буфера обмена и использовать его для шпионажа или кражи информации.
«Пользователь может невольно выдать программам своё точное местоположение, просто скопировав фотографию в буфер обмена. Любое приложение, используемое пользователем после копирования такой фотографии в буфер обмена, может считывать информацию о местоположении, сохранённую в свойствах фотографии. Это происходит совершенно незаметно и без согласия пользователя», – пояснил Миск.
Apple в ответ заявила, что рассматривает подобное использование буфера обмена не как уязвимость, а как основную функцию большинства приложений и операционных систем.
Миск же считает, что Apple должна устанавливать разрешения для данных буфера обмена так же, как приложения запрашивают разрешение на доступ к контактам и местоположению iPhone.
