Der Software-Entwickler erstellt eine bösartige Proof-of-Concept iOS-App, die Daten lesen kann, die vorübergehend in der Zwischenablage des Geräts gespeichert sind.
Alle vorübergehend im Speicher eines iPhone oder iPad gespeicherten Daten können von allen auf dem jeweiligen Gerät installierten Apps - auch bösartigen - abgerufen werden. Diese Daten können dann private Informationen wie die GPS-Koordinaten eines Benutzers, Passwörter, Bankdaten oder eine in eine E-Mail kopierte Tabellenkalkulation enthüllen.
Licht auf den potenziellen Schaden dieses Szenarios wirft der deutsche Software-Ingenieur Tommy Mysk, der versucht, das Bewusstsein für eine seiner Meinung nach bestehende Apple-Schwachstelle zu schärfen. Um seine Bedenken zu veranschaulichen, hat Mysk eine schurkische Proof-of-Concept (PoC)-Anwendung namens KlipboardSpy und ein iOS-Widget namens KlipSpyWidget entwickelt.
Beide sollen veranschaulichen, wie jede auf einem iOS-Gerät installierte Anwendung böswillig handeln und auf Daten aus der Zwischenablage zugreifen und diese zum Ausspähen oder Stehlen sensibler persönlicher Daten verwenden kann. Um seine Bedenken hervorzuheben und zu demonstrieren, sagte Mysk gegenüber Threatpost, dass er sich auf Fotos konzentriere, die mit der Kamera eines Geräts aufgenommen wurden und Zeit- und GPS-Metadaten enthalten, die zur Lokalisierung eines Benutzers verwendet werden könnten.
"Ein Benutzer kann unwissentlich seinen genauen Standort durch einfaches Kopieren eines von der integrierten Kamera-App aufgenommenen Fotos auf die allgemeine Pinnwand preisgeben", schrieb der Entwickler in einem technischen Blog-Post, in dem er seine Forschungsarbeit am Montag skizzierte.
"Durch die GPS-Koordinaten, die in den eingebetteten Bildeigenschaften enthalten sind, kann jede Anwendung, die der Benutzer nach dem Kopieren eines solchen Fotos in die Zwischenablage benutzt, die in den Bildeigenschaften gespeicherten Ortsinformationen auslesen und den genauen Standort des Benutzers genau ableiten. Dies kann völlig transparent und ohne Zustimmung des Benutzers geschehen", schrieb er.
Als Reaktion auf seine Untersuchungen sagte Apple, dass es seine Implementierung von Cut-and-Paste nicht als eine Schwachstelle ansieht, sondern als eine grundlegende Funktion der meisten Betriebssysteme und der darauf laufenden Anwendungen, sagte Mysk gegenüber Threatpsot.
Apple hat die Bitte von Threatpost um einen Kommentar zu dieser Geschichte nicht beantwortet.
Mysk sagte, dass jede Anwendung, die ständig die Zwischenablage eines Geräts lesen kann, die Daten leicht missbrauchen kann.
Ein Einwand gegen die Nachforschungen des Entwicklers war, dass iOS Apps nur dann das Lesen von Daten aus der Zwischenablage erlauben kann, wenn die Apps aktiv sind und im Vordergrund stehen. Die Umgehung bestand darin, KlipSpyWidget zu erstellen, ein Apple-Widget, das in der Heute-Ansicht des iPhones sichtbar ist.
"Ein Widget, das über der Heute-Ansicht platziert wird, kann die Zwischenablage jedes Mal lesen, wenn der Benutzer zur Heute-Ansicht wechselt, wodurch das Fenster der Sicherheitslücke erweitert wird", schrieb er.
Apple sind Bedenken bezüglich der Zwischenablage nicht fremd. Vor drei Jahren plädierte ein Reddit-Benutzer: "Apple sollte die Zwischenablage unter iOS reparieren, damit der Zugriff darauf eine Erlaubnis erfordert. Dies ist eine massive Öffnung für bösartige Anwendungen."
Während einige Reddit-Benutzer die Praxis von Apple verteidigten, unterstützten andere die Meinung des Posters.
"Der ganze Sinn der Zwischenablage besteht darin, Text zwischen Apps zu kopieren und einzufügen. Sie möchten, dass der Text in der Zwischenablage bleibt und nur zugänglich ist, wenn Sie manuell auf Einfügen drücken? Das macht für mich Sinn", schrieb ein Benutzer mit dem Namen crushed_oreos.
Für Mysk ist er auch der Meinung, dass Apple Berechtigungen um die Daten in der Zwischenablage herum setzen sollte, so wie Apps die Erlaubnis für den Zugriff auf die Kontakt- und Standort-Dienste eines iPhones anfordern. "Apps sollten ohne die Zustimmung des Benutzers keinen uneingeschränkten Zugriff auf die Zwischenablage haben. Die beste Lösung für diese Ausnutzung ist die Einführung einer neuen Berechtigung, die es dem Benutzer ermöglicht, den Zugriff auf die Zwischenablage durch die Anwendung zu gewähren, genau wie bei Kontakten, Standort-Diensten und Fotos", schrieb er.
Im Falle von GPS-Daten, die aus Fotos entweichen, schlägt er vor, "dass Betriebssysteme automatisch die Ortsinformationen von Fotos löschen, sobald diese in die Zwischenablage kopiert werden".
Clipboard-bezogene Angriffe sind in Windows-Umgebungen und auf der Android-Plattform seit Jahren eine feste Größe. Im Jahr 2018 wurden 2,3 Millionen Bitcoin-Adressen durch Kryptocurrency-Malware infiziert. Die Malware zielte bei Bitcoin-Transaktionen auf Daten aus der Zwischenablage ab. Sobald eine Transaktion initiiert und Daten in der Zwischenablage gespeichert wurden, vertauschte die Malware die Kontodaten im Speicher und leitete Bitcoins in die Brieftasche des Angreifers um.