Sicherheitswoche 27: Datenschutz in der Zwischenablage unter iOS

Die Veröffentlichung der Beta-Version von iOS 14 für iPhone-Mobilgeräte hat in einigen Apps ein Problem mit der Privatsphäre der Zwischenablage aufgedeckt. Eine neue Version des Betriebssystems warnt den Benutzer, wenn die Anwendung Informationen aus dem Puffer liest. Es stellte sich heraus, dass dies ziemlich viele Apps tun. Dieses Verhalten wird im folgenden Video deutlich: Wechseln Sie zur Anwendung, und die Informationen werden sofort kopiert.





In diesem Zusammenhang wurde die TikTok-Anwendung letzte Woche am häufigsten diskutiert. Die Entwickler dieses Dienstes reagierten wie erwartet: Dies ist kein Fehler, sondern eine Funktion. Eine regelmäßige Anforderung an die Zwischenablage (nicht beim Start, sondern ständig bei der Texteingabe) wurde implementiert, um Spammer zu identifizieren, die denselben Text mehrmals veröffentlichen. Antispam wird mit dem nächsten Update aus der Anwendung entfernt. Obwohl die Sicherheit von Benutzerdaten nicht direkt gefährdet ist, birgt der unkontrollierte Zugriff bestimmte Datenschutzrisiken. Die „Nachrichten“ waren übrigens nicht ganz neu: Das seltsame Verhalten von Anwendungen wurde bereits im März dieses Jahres untersucht.





Das Video im obigen Tweet zeigt das Verhalten der TikTok-App: Wenn der Benutzer eine Nachricht eingibt, liest er den Puffer jedes Mal, wenn ein Leerzeichen oder eine Interpunktion eingegeben wird. Die detaillierte Beschreibung des Problems auf der ArsTechnica-Website erklärt, warum dieses Verhalten von Anwendungen gefährlich sein kann. Es ist klar, dass Passwörter, Zahlungsinformationen und andere benutzersensible Daten den Puffer durchlaufen. Das Apple-Ökosystem bietet jedoch noch eine weitere Funktion: Wenn das Smartphone nicht weit von einem MacOS-basierten Desktop-Computer entfernt ist, verfügt es über eine gemeinsame Zwischenablage. Die aus dem Puffer kopierten Informationen werden nicht gelöscht und bleiben dort bis zur nächsten Operation. Es stellt sich heraus, dass es Entwicklern beliebter Anwendungen zur Verfügung steht, und ohne die Innovation in iOS 14 hätte niemand von diesem Verhalten gewusst.



Genauer gesagt, nur Experten würden es wissen. Bereits im März wurde eine Studie veröffentlicht, in der mehrere Dutzend Anwendungen mit ähnlichem Verhalten identifiziert wurden. Unter denjenigen, die auf die Zwischenablage zugegriffen haben, wurden Ups von populären Medien, Spielen und Anwendungen zur Demonstration von Wettervorhersagen bemerkt. Die Erfassung der Zwischenablage wird manchmal zur Vereinfachung des Benutzers verwendet: Wenn Sie sich beispielsweise bei Ihrem Konto anmelden, wird eine Nachricht mit dem Code an Sie gesendet. Sie kopieren den Code und er wird automatisch abgeholt, wenn Sie zur Anwendung zurückkehren.



Dies ist jedoch eine völlig optionale Funktion, und es ist nicht ganz klar, warum Bälle und Golf Zugriff auf die Zwischenablage haben. Offensichtlich wurde in allen genannten Anwendungen das Lesen des Puffers "zur Bequemlichkeit des Benutzers" oder zumindest zur Bequemlichkeit der Entwickler implementiert. Es ist nicht bekannt, was als nächstes mit den kopierten Daten passiert. Das Abfangen der Zwischenablage ist eine Standardfunktion zum Stehlen von Benutzerinformationen, die manchmal direkt auf das Erkennen und Stehlen von Kreditkartendaten ausgerichtet ist.



Eine interessante Kollision wurde aufgedeckt: Die Zwischenablage sollte per Definition für alle zugänglich sein. Dies ist fast der letzte Außenposten für Freiheit und Interaktion in modernen mobilen Betriebssystemen, bei dem Anwendungen umso strenger voneinander und von Benutzerdaten isoliert sind. Der gedankenlose Zugriff auf den Puffer, wenn der Benutzer nichts kopieren und einfügen wollte, ist jedoch auch nicht die beste Vorgehensweise. Es ist möglich, dass Entwickler etwas an ihren Anwendungen ändern müssen. Andernfalls werden Benutzer zumindest mit der Veröffentlichung von iOS 14 viele der gleichen Benachrichtigungen über den Zugriff auf die Zwischenablage erhalten.



Was ist sonst noch passiert?



Mit Google Analytics können Nutzerdaten erfasst und herausgefiltert werden. Ein Experte von Kaspersky Lab analysiert einen echten Angriff mithilfe eines Analysedienstes.



Das Nvidia-Treiber-Update (Version 451.48 für die meisten Grafikkarten von GeForce) schließt die schwerwiegenden Sicherheitslücken, einschließlich der Ausführung von beliebigem Code.





Interessante Ergebnisse der Recherche in einer Datenbank mit Milliarden von Passwörtern, die aus Lecks gesammelt wurden. Insgesamt wurden 168 Millionen eindeutige Passwörter erhalten. Weniger als 9% der Passwörter werden nur einmal durchgesickert, was bedeutet, dass die meisten Passwörter wahrscheinlich wiederverwendet werden. Fast ein Drittel der Passwörter sind Buchstaben und enthalten keine Zahlen oder Sonderzeichen.



Ein Artikel über den NotPetya-Angriff 2017 auf die Reederei Maersk durch einen IT-Insider.



Der US-Kongress geht weiterDiskussion der Gesetzgebung, die das Vorhandensein von „Hintertüren“ in Verschlüsselungssystemen auf Benutzergeräten vorsieht. Dieser Ansatz wird von Kryptographen kritisiert: Sie können den Schutz nicht nur im Interesse der Strafverfolgungsbehörden schwächen. Die Möglichkeit, Daten mit dem "geheimen Schlüssel" zu entschlüsseln, steht letztendlich jedem zur Verfügung.



Akamai berichtete am 25. Junium einen der größten DDoS-Angriffe zu verhindern. Der Artikel schlägt auch eine neue Methode zur Messung der Angriffskraft vor: in „Paketen pro Sekunde“. Diese Innovation war aufgrund der Eigenschaften des Angriffs erforderlich: Jedes der angreifenden Systeme versuchte nicht, den Kanal des Anbieters mit Datenverkehr zu "verstopfen", sondern sendete kleine Datenpakete mit nur einem Byte. Gleichzeitig wurden Müllanfragen mit hoher Intensität gesendet: bis zu 809 Millionen Anfragen pro Sekunde.



Die Datenbank von 40 Millionen Login-Telefon-Paaren im Telegramm-Messenger wurde offen zugänglich . 30% der Benutzer, die in die Datenbank aufgenommen wurden, stammen aus Russland. Höchstwahrscheinlich wurde die Datenbank kompiliert, indem die Standard-Messenger-Funktionalität missbraucht wurde, mit der Sie Benutzer anhand der Telefonnummer finden können, wenn sie im Adressbuch aufgezeichnet sind.



All Articles