iOS应用可以从设备的剪贴板和MacOS威胁监视调查中窃取数据

图片：Unsplash

攻击者可以窃取用户的GPS坐标，密码或财务信息。

IOS应用程序（包括恶意软件）可以访问iPhone或iPad剪贴板上存储的任何数据。这样，攻击者可以窃取机密数据，例如用户的GPS坐标，凭据或财务信息。

为了演示此问题的危险，德国程序员Tommy Mysk开发了适用于iOS的KlipboardSpy PoC应用程序和KlipSpyWidget小部件。他们演示了iOS设备上安装的任何程序如何访问剪贴板数据并使用它来间谍或窃取机密信息。

“用户只需将照片复制到剪贴板，即可不经意间将程序的确切位置提供给程序。将此类照片复制到剪贴板后，用户使用的任何应用程序都可以读取存储在照片属性中的位置信息。开发人员解释说，这种情况完全没有引起注意，并且未经用户同意。

苹果公司对Bowling的一项研究回应说，它认为对剪贴板的这种使用不是漏洞，而是大多数应用程序和操作系统的核心功能。

根据Misk的说法，Apple应该为剪贴板数据设置权限，就像应用程序请求访问iPhone的联系人和位置的权限一样。

2020年5月，将举行实用信息安全“积极黑客日”十周年论坛。 PT专家安全中心专家Aleksey Potapov将举办有关MacOS威胁监控的研讨会。为了使演示更加有用，我们邀请IT和信息安全专家参加小型调查：