Apples WWDC-meddelelser i denne uge har haft et stort fokus på sikkerhed og privatlivets fred. Den amerikanske teknologigigant har haft et par vanskelige måneder med adskillige problemer og sårbarheder, der er blevet rapporteret, og nu ønsker den tilsyneladende at komme ud over alt dette for at gentænke sin sikkerhed og beskyttelse af privatlivets fred og adskille sig fra konkurrenterne.
Men Apple får ikke altid styr på dette, hvilket perfekt illustreres af et sikkerhedsproblem, som den oprindeligt benægtede, men som den nu pludselig har bekræftet ved at udsende en rettelse. Denne rettelse er dog ikke tilgængelig endnu, hvilket efterlader brugerne i fare. Den vil komme med iOS 14, som er planlagt til efteråret.
Tilbage i februar rapporterede jeg om et problem med Apples udklipsholderfunktion. Som afsløret af sikkerhedsforskerne Talal Haj Bakry og Tommy Mysk kunne alle data, der blev kopieret til udklipsholderen på en iOS-enhed, læses af enhver aktiv app. Der er ingen meddelelse, ingen indstilling til at begrænse en app’s mulighed for at få adgang til brugeroplysninger; sårbarheden er skjult – brugerne har ingen mulighed for at vide, hvornår en app måske stjæler deres data.
MERE FRA FORBESSEnkel Apple-sikkerhedshack: Hvis du har en iPhone og MacBook, så kig væk nuAf Zak Doffman
Og hvad værre er, fortalte forskerne mig, “Universal Clipboard kan også blive påvirket af denne sårbarhed, så det kan aflytte, hvad brugerne kopierer.” Det betyder, at hvis du kopierer noget på din Mac, kan det blive læst af en app på din iPhone. Og da vi har en tendens til at bruge kopiere og indsætte mere på en stationær eller bærbar computer end på en telefon, gør det problemet meget mere alvorligt i den virkelige verden.
“Vi fik mange anmodninger om dette punkt,” fortalte forskerne, “at vi har tilføjet en video, der illustrerer, hvordan en iPhone- eller iPad-app kan aflytte udklipsholderen på Mac.”
Problemet blev rapporteret til Apple tilbage i januar. “Efter at have analyseret indsendelsen,” forklarede forskerne, “meddelte Apple os, at de ikke kan se et problem med denne sårbarhed.” I det væsentlige syntes Apples synspunkt at være, at dette var dets udklipsholderfunktion, der fungerede som planlagt. Der var intet problem at rette – der var intet at se her.
MERE FRA FORBESPåpasselig hvis du bruger TikTok på din iPhone: Her er hvorfor du nu bør bekymre dig – ny sikkerhedsrapportAf Zak Doffman
Forskerne har endda udgivet en opfølgning, der viser den måde, hvorpå apps som TikTok, der har rejst masser af sine egne sikkerhedsproblemer, “læser indholdet af udklipsholderen, når den åbnes.” Og selv om forskerne erkendte, at “vi ikke kan sige med sikkerhed, hvad TikTok gør med de data, den har læst,” var dette helt klart et problem. TikTok fortalte mig for sin del, at det var et problem med et Google Ads SDK, og at det var ved at blive rettet. Når det er sagt, burde Apple ikke have ladet det ske i første omgang.
Forskerne var meget tydelige fra deres første afsløring og fremefter. Apple bør inkludere en privatlivsindstilling, app for app, der aktiverer eller deaktiverer adgangen til udklipsholderen. Og i det mindste bør Apple vise en meddelelse på skærmen, når en app får adgang til udklipsholderen, “for at forhindre apps i at udnytte udklipsholderen”, sagde forskerne tilbage i februar, “Apple må handle.”
Men selv om de benægter, at dette er et problem, er det alvorligt nok til, at der skal findes en specifik løsning i iOS 14. “Selv om Apple informerede os om, at det ikke var et problem, da vi rapporterede det tidligere på året,” fortalte Mysk mig, “tror jeg, at Apple lyttede til kravene og genovervejede deres oprindelige tanker om problemet – de løste det på præcis den måde, som vi anbefalede i vores artikel.” Mysk bemærkede også, at meddelelsen “er anderledes end normale iOS-bannere – det viser, at Apple specifikt har designet dette til adgang til udklipsholderen.”
Det er et godt træk – det er et ægte problem, og det skal rettes. Det ville dog have været bedre, hvis Apple havde sagt det samme tilbage i februar og marts, da dette først blev rejst, i stedet for at synes at afvise bekymringen. Jeg henvendte mig dengang til Apple for at få en kommentar, uden at få nogen, og jeg har gjort det samme denne gang, hvor rettelsen nu skal være klar om et par måneder.
“Jeg er meget glad for, at vores forskning har ført til en så stor ændring, som helt sikkert vil beskytte brugernes privatliv yderligere,” sagde Mysk til mig. “Jeg vil gerne nævne, at vi henvendte os til Apple for at få en kommentar, efter at vi opdagede rettelsen. Apples svar var meget hurtigt og positivt, og de bad om vores tilknytningsoplysninger.”
Følg mig på Twitter eller LinkedIn.