Recentment els investigadors de seguretat Talal Haj Bakry i Tommy Mysk (via Forbes) han descobert una vulnerabilitat relacionada amb el porta-retalls d’iPhone, iPad i Mac.
Este problema de seguretat permetria a aplicacions malicioses "robar" qualsevol dada copiada al porta-retalls. Pel que podràs imaginar, es tracta d'un problema força seriós.
Segons Apple, la funcionalitat de copiar i enganxar funciona normalment, però sembla ser que hi ha una bretxa de seguretat que podria afectar els usuaris d'iOS, iPadOS i macOS.
Et pot interessar | Larry Tesler, empleat d’Apple que va inventar tallar, copiar i enganxar, acaba de morir
La vulnerabilitat que afecta a iPhone, iPad i Mac
En un principi es pensava que aquesta escletxa de seguretat únicament afectava a iPhone i iPad. Però aparentment va més enllà dels dispositius mòbils i també és present a Mac.
"Hem revelat en el nostre article que el porta-retalls universal també pot estar afectat per aquesta vulnerabilitat per espiar el que els usuaris copien als seus Mac."
Això seria un problema força greu, perquè l'ús de copiar i enganxar és força freqüent en un dispositiu iOS o iPadOS, però ho és molt més en un Mac.
Tal com Apple explica, els usuaris poden utilitzar el porta-retalls universal per copiar i enganxar continguts entre diferents dispositius. És a dir, pots copiar text, imatges, fotografies i vídeos en un iPhone i després enganxar-los en un iPad o en un Mac.
En aquest parell de tuits compartits a Twitter per Tommy Mysk (@mysk_co) parla sobre la vulnerabilitat afegint un parell de vídeos de gravacions de la pantalla del seu iPad i del seu Mac:
Amics!
— Mysk (@mysk_co) 26 de febrer de 2020
No només les fotos pot robar KlipboardSpy.
Gràcies als comentaris de @MayaErgas, hem afegit un vídeo que mostra com KlipboardSpy a iPad o iPhone pot robar text de Mac espiant el porta-retalls universal
Llegiu l'article complet a https://t.co/IzHClZxFw1 pic.twitter.com/IXEmuSnzAn
En els seus tuits, l'investigador de seguretat proclama que la vulnerabilitat no només permet a una aplicació maliciosa robar fotografies, sinó que també pot robar text i fins i tot revelar la teva ubicació mitjançant els serveis de localització. Tot plegat gràcies a una aplicació demo anomenada KlipboardSpy.
Gràcies a aquesta vulnerabilitat, un atacant maliciós podria crear una aplicació com KlipboardSpy per robar dades que han estat copiades al porta-retalls d'iPhone, iPad o Mac i després accedir a les metadades adjuntes a una fotografia feta al dispositiu.
Des d'Apple van analitzar el problema i no es van mostrar preocupats
Segons els investigadors, van compartir el seu descobriment amb Apple el dia 2 de gener de 2020. Van explicar que, després d'analitzar el seu informe, Apple va informar que "no veien cap tipus de problema amb aquesta vulnerabilitat". Estranyats, van tornar a contactar amb la companyia de la poma mossegada però no van obtenir cap resposta.
Perquè aquesta vulnerabilitat afecti un dispositiu, una aplicació maliciosa ha d'estar executant-se en segon pla. Els investigadors van acomodar la seva aplicació en un widget de la Vista Avui i van veure com el problema s'expandia.
"Una aplicació maliciosa podria aprofitar la vulnerabilitat per descobrir la ubicació d'un usuari, fins i tot quan aquest usuari ha bloquejat l'opció per compartir la localització amb aquesta app."
L'avís que els investigadors de seguretat Talal Haj Bakry i Tommy Mysk van donar a Apple animava la companyia a eliminar l'accés no restringit al porta-retalls. Podrien fer-ho a través dels ajustos de privadesa en les últimes versions d'iOS o d'iPadOS. Com a alternativa, una altra possible solució a aquest problema de seguretat seria restringir l'accés al porta-retalls quan l'usuari executi una operació d'enganxar continguts.
És important mencionar que aquest és solament un potencial problema de seguretat. És a dir, encara no s'ha trobat cap cas en què un atacant robi dades del porta-retalls d'un usuari amb una aplicació maliciosa. Però els investigadors han demostrat que la vulnerabilitat hi és, i podria ser només qüestió de temps que una app com aquesta es colés a l'App Store.
Esperem que Apple reaccioni i corregeixi el problema de seguretat amb un pegat en futures versions d'iOS, d'iPadOS i/o de macOS. Romandrem atents davant possibles novetats. Què opines sobre aquest curiós i potencialment perillós problema de seguretat a l'iPhone, l'iPad i el Mac?