Les chercheurs ont découvert que les données de localisation peuvent être divulguées à des applications tierces sur iOS et iPadOS via le presse-papiers. Cependant, Apple ne voit pas cela comme un problème.

Accès au presse-papiers

Le contenu de votre presse-papiers est accessible par des applications tierces et il n’y a aucun moyen de savoir si une application l’utilise à votre insu. À titre d’exemple, une personne peut copier une photo dans le presse-papiers, exposant ses données de localisation dans EXIF. Les autres données pouvant être lues incluent l’horodatage, le modèle d’appareil et le système d’exploitation.

Ce ne sont pas que des photos; de nombreux types de contenu peuvent être stockés dans le presse-papiers, comme des documents, des PDF, des URL, des mots de passe, des feuilles de calcul, etc. Il est également possible pour une application malveillante non seulement de lire le presse-papiers, mais de modifier les données qui y sont stockées. Et grâce à Universal Clipboard, cela affecte également macOS.

iOS et iPadOS sont conçus pour permettre aux applications de lire la table de montage uniquement lorsque les applications sont actives au premier plan. Cependant, il existe d’autres techniques qu’une application malveillante peut implémenter afin d’augmenter la probabilité que l’application puisse lire la table de montage.

Comme nous le verrons plus loin dans l’application de démonstration, une extension de widget peut lire la table de montage tant qu’elle est visible dans la vue Aujourd’hui. Par conséquent, un widget placé au-dessus de la vue Aujourd’hui peut lire le presse-papiers à chaque fois que l’utilisateur glisse sur la vue Aujourd’hui, élargissant ainsi la fenêtre de vulnérabilité.

Les chercheurs ont partagé leur rapport et le code source de leurs applications de test avec Apple le 2 janvier 2020. Bien qu’ils ne fournissent pas le devis exact que la société leur a donné, ils disent: «Apple nous a informés qu’ils ne voyaient pas de problème avec cela. vulnérabilité.”

