Az Apple e heti WWDC bejelentései nagy hangsúlyt fektettek a biztonságra és az adatvédelemre. Az amerikai techóriás nehéz hónapokon van túl, több problémáról és sebezhetőségről is beszámoltak, és most úgy tűnik, túl akar lépni mindezen, hogy újra megerősítse biztonsági és adatvédelmi hitvallását, megkülönböztetve magát a konkurenciától.
Az Apple azonban nem mindig érti ezt jól, amit tökéletesen illusztrál egy biztonsági probléma, amelyet eredetileg tagadott, de most hirtelen megerősített egy javítás kiadásával. Ez a javítás azonban még nem elérhető, így a felhasználók veszélyben vannak. A javítás az ősszel esedékes iOS 14 rendszerrel érkezik majd.
Még februárban beszámoltam az Apple vágólap funkciójával kapcsolatos problémáról. Amint azt Talal Haj Bakry és Tommy Mysk biztonsági kutatók nyilvánosságra hozták, az iOS-eszközök vágólapjára másolt adatokat bármelyik aktív alkalmazás elolvashatja. Nincs értesítés, nincs olyan beállítás, amely korlátozná, hogy egy alkalmazás hozzáférjen a felhasználói adatokhoz; a sebezhetőség rejtett – a felhasználóknak nincs módjuk megmondani, hogy mikor lopja el egy alkalmazás az adataikat.
TOVÁBB A FORBESSBŐLegyszerű Apple biztonsági hack: Ha van iPhone-od és MacBookod, most nézz félreBy Zak Doffman
A kutatók elmondták, hogy “az univerzális vágólapot is érintheti ez a sebezhetőség, hogy lehallgassa, mit másolnak a felhasználók”. Ez azt jelenti, hogy ha másolsz valamit a Maceden, azt az iPhone-odon lévő alkalmazás elolvashatja. És mivel a másolást és beillesztést inkább asztali számítógépen vagy laptopon használjuk, mint telefonon, ez sokkal komolyabbá teszi a problémát a való világban.”
“Sok kérést kaptunk ezzel a ponttal kapcsolatban” – mondták a kutatók – “ezért egy videót is mellékeltünk, amely bemutatja, hogyan tud egy iPhone vagy iPad alkalmazás lehallgatni a vágólapot a Macen.”
A problémát még januárban jelentették az Apple-nek. “A beadvány elemzése után” – magyarázták a kutatók – “az Apple arról tájékoztatott minket, hogy nem látnak problémát ebben a sebezhetőségben”. Lényegében úgy tűnt, hogy az Apple álláspontja szerint ez az Apple vágólap funkciója, amely a tervek szerint működik. Nem volt javítandó probléma – itt nem volt semmi látnivaló.
TOVÁBB A FORBES-rőlVigyázz, ha TikTokot használsz az iPhone-odon! Here’s Why You Should Now Worry-New Security ReportBy Zak Doffman
A kutatók még egy folytatást is kiadtak, bemutatva, hogy az olyan alkalmazások, mint a TikTok, amely rengeteg saját biztonsági aggályt vetett fel, “olvassák a vágólap tartalmát, amikor megnyitják”. És bár a kutatók elismerték, hogy “nem tudjuk biztosan megmondani, hogy a TikTok mit csinál az általa olvasott adatokkal”, ez egyértelműen aggodalomra ad okot. A TikTok a maga részéről azt mondta, hogy ez egy Google Ads SDK-val kapcsolatos probléma, és javítás alatt áll. Ennek ellenére az Apple-nek eleve nem lett volna szabad hagynia, hogy ez megtörténjen.
A kutatók már a kezdeti közzétételtől kezdve nagyon egyértelműek voltak. Az Apple-nek be kellene építenie egy adatvédelmi beállítást, alkalmazásonként, amely lehetővé teszi vagy letiltja a vágólaphoz való hozzáférést. És legalább egy értesítést kellene felvillantania a képernyőn, amikor egy alkalmazás hozzáfér a vágólaphoz, “hogy megakadályozza, hogy az alkalmazások kihasználják a vágólapot”, mondták a kutatók még februárban: “Az Apple-nek cselekednie kell.”
Noha tagadja, hogy ez probléma, elég komoly ahhoz, hogy az iOS 14-ben külön javítást kapjon. “Annak ellenére, hogy az Apple arról tájékoztatott minket, hogy ez nem probléma, amikor az év elején jelentettük” – mondta Mysk – “azt hiszem, az Apple meghallgatta a kéréseket, és átgondolta a problémával kapcsolatos kezdeti gondolatait – pontosan úgy javították, ahogyan azt a cikkünkben ajánlottuk”. Mysk azt is megjegyezte, hogy az értesítés “eltér a normál iOS-bannerektől – ez azt mutatja, hogy az Apple ezt kifejezetten a vágólaphoz való hozzáféréshez tervezte.”
Ez egy jó lépés – ez egy valódi probléma, és javításra szorul. Jobb lett volna azonban, ha az Apple ezt már februárban és márciusban is elmondta volna, amikor ez először felmerült, ahelyett, hogy látszólag elutasítja az aggodalmat. Akkoriban megkerestem az Apple-t, hogy nyilatkozzon, de nem kaptam semmit, és most is ugyanezt tettem, a javítás most néhány hónap múlva esedékes.”
“Nagyon örülök, hogy a kutatásunk ilyen nagy változáshoz vezetett, amely minden bizonnyal tovább őrzi a felhasználók magánéletét” – mondta Mysk. “Szeretném megemlíteni, hogy megkerestük az Apple-t, hogy nyilatkozzon, miután felfedeztük a javítást. Az Apple válasza nagyon gyors és pozitív volt, és kérték a hozzárendelési információinkat.”
Kövessen a Twitteren vagy a LinkedInen.