Sicherheitsforscher: Populäre Apps schnüffeln in der Zwischenablage von iPhone und iPad herum

Sicherheitsforscher haben herausgefunden, dass einige sehr populäre Apps für iPhone und iPad das Pasteboard von iOS auslesen, ohne dass der Besitzer des Geräts das veranlasst hat. Betroffen sind unter anderem die Anwendungen zahlreicher Zeitungen und TV-Sender, aber auch Spiele sowie die Apps einiger Sozialer Netzwerke.


Analyse mit Entwickler-Werkzeugen
Dem Verhalten auf die Spur gekommen sind Talal Haj Bakry and Tommy Mysk, die Ergebnisse ihrer Untersuchung haben die beiden in einem Blogpost veröffentlicht. Für ihre Analyse der Apps nutzten sie die Bordmittel, welche in Apples Entwickler-Werkzeugen zur Verfügung stehen. Hierzu verbanden sie iPhones und iPads mit einem Mac und überwachten dann die umfangreichen Log-Dateien von iOS und iPadOS.


Zugriff bereits beim App-Start
Bakry und Mysk stellten fest, dass zahlreiche der von ihnen untersuchten Apps bereits beim Start auf die von Apple "Pasteboard" genannte Zwischenablage zugreifen. Bei etlichen dieser Anwendungen stellt das Auslesen des Clipboards eine eigentlich sinnlose Aktion dar, weil sie über keinerlei Möglichkeiten der Texteingabe verfügen. Ein derartiges Verhalten beobachteten die Sicherheitsforscher unter anderem bei den Apps von Fox News, der New York Times und des deutschen Wochenmagazins Stern. Auch weit verbreitete Spiele wie etwa PUBG Mobile, 8 Ball Pool und Fruit Ninja schnüffeln im Pasteboard herum, gleiches gilt für die Social-Networking-Apps Viber, TikTok und Weibo. Die komplette Liste haben Bykry und Mysk in ihrem Blogpost veröffentlicht.


Passwörter könnten in fremde Hände gelangen
Dass Apps ohne Rückfrage auf das systemweite Pasteboard zugreifen können, ist von Apple beabsichtigt, schließlich dient die Zwischenablage dem Datenaustausch zwischen Anwendungen. Folgerichtig gibt es auch keine Berechtigungseinstellungen für diese Funktion. Allerdings ist es durchaus überraschend, dass zahlreiche Apps das Clipboard heimlich auslesen, also ohne vorherige Aktion des Nutzers. Zudem ist völlig unklar, was mit den so ausgeschnüffelten Informationen geschieht. Das Verhalten stellt darüber hinaus unter Umständen ein Sicherheitsrisiko dar, denn viele iPhone- und iPad-Besitzer nutzen die Zwischenablage, um etwa Usernamen und Zugangspasswörter auf Login-Screens einzugeben. Diese könnten so in fremde Hände gelangen. Zudem besteht die Gefahr, dass auch die Inhalte des Mac-Clipboards ausgelesen werden, wenn die Allgemeine Zwischenablage aktiviert ist.

Kommentare

maculi
maculi16.03.20 14:35
Apple sollte das doch recht einfach abstellen können. Erst wenn innerhalb einer App auf einfügen getippt wird erlaubt das System den Zugriff auf die Zwischenablage. Auslesen ohne Aufforderung geht damit nicht mehr.
+3
iDie
iDie16.03.20 17:19
Da werden sie bei mir viele viele Instagram-Hashtags finden.
Two roads diverged in a wood, and I--I took the one less travelled by...- Robert Frost
+1
Metti
Metti16.03.20 18:01
Hat die Redaktion schon mal bei einer der Firmen (z. B. Stern) diesbezüglich nachgefragt?
Wäre doch interessant zu wissen, was die antworten.

Gruß, Stefan Mettenbrink.
+3
ttwm16.03.20 18:02
maculi
Apple sollte das doch recht einfach abstellen können. Erst wenn innerhalb einer App auf einfügen getippt wird erlaubt das System den Zugriff auf die Zwischenablage. Auslesen ohne Aufforderung geht damit nicht mehr.
Meldung 1: Möchten Sie wirklich den Inhalt der Zwischenablage XYZ dem Programm zyx zur Verfügung stellen?
Meldung 2: Möchten Sie dauerhaft dem Programm zyx erlauben, auf die Zwischenablage zuzugreifen?
Meldung 3: Soll bei Programm XYZ erst nach 15 Minuten eine erneute Abfrage kommen oder darf das Programm nur einmal auf die Zwischenablage zugreifen…
Meldung 4: …

Die verschiedenen Reaktionen eines Benutzers pro (nicht vorhandener) Meldung aufzuzählen erspare ich mir…
-5
ocrho16.03.20 19:52
Der Vorschlag von maculi ist richtig. Für den Benutzer ist das Konzept der Zwischenablage etwas, was dem Benutzer gehört und nicht dem Programm. Daher auch die Aufregung, dass dieses mentale Konzept des Benutzers nicht auch physikalisch so implementiert ist vom Betriebssystem. Es gibt in iOS zahlreiche Funktionen, die nur über ein Betriebssystem-Dialog zugreifbar sind. Für die Zwischenablage gibt es unter iOS keinen Grund, warum diese auch von einer App erreichbar sein soll, weil einen iOS-App besitzt keine Menü-Zeile und damit auch kein Bearbeiten-Menü in der Einfügen usw. enthalten ist (und dann vom Programmierer manuell zu verdrahten ist).
0
ruphi17.03.20 01:34
ttwm
maculi
Apple sollte das doch recht einfach abstellen können. Erst wenn innerhalb einer App auf einfügen getippt wird erlaubt das System den Zugriff auf die Zwischenablage. Auslesen ohne Aufforderung geht damit nicht mehr.
Meldung 1: Möchten Sie wirklich den Inhalt der Zwischenablage XYZ dem Programm zyx zur Verfügung stellen?
Meldung 2: Möchten Sie dauerhaft dem Programm zyx erlauben, auf die Zwischenablage zuzugreifen?
Meldung 3: Soll bei Programm XYZ erst nach 15 Minuten eine erneute Abfrage kommen oder darf das Programm nur einmal auf die Zwischenablage zugreifen…
Meldung 4: …

Die verschiedenen Reaktionen eines Benutzers pro (nicht vorhandener) Meldung aufzuzählen erspare ich mir…
Du hast den Vorschlag von maculi nicht verstanden.
+1

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.