Sicherheitsforscher: Populäre Apps schnüffeln in der Zwischenablage von iPhone und iPad herum
Sicherheitsforscher haben herausgefunden, dass einige sehr populäre Apps für iPhone und iPad das Pasteboard von iOS auslesen, ohne dass der Besitzer des Geräts das veranlasst hat. Betroffen sind unter anderem die Anwendungen zahlreicher Zeitungen und TV-Sender, aber auch Spiele sowie die Apps einiger Sozialer Netzwerke.
Analyse mit Entwickler-WerkzeugenDem Verhalten auf die Spur gekommen sind Talal Haj Bakry and Tommy Mysk, die Ergebnisse ihrer Untersuchung haben die beiden in einem
Blogpost veröffentlicht. Für ihre Analyse der Apps nutzten sie die Bordmittel, welche in Apples Entwickler-Werkzeugen zur Verfügung stehen. Hierzu verbanden sie iPhones und iPads mit einem Mac und überwachten dann die umfangreichen Log-Dateien von iOS und iPadOS.
Zugriff bereits beim App-StartBakry und Mysk stellten fest, dass zahlreiche der von ihnen untersuchten Apps bereits beim Start auf die von Apple "Pasteboard" genannte Zwischenablage zugreifen. Bei etlichen dieser Anwendungen stellt das Auslesen des Clipboards eine eigentlich sinnlose Aktion dar, weil sie über keinerlei Möglichkeiten der Texteingabe verfügen. Ein derartiges Verhalten beobachteten die Sicherheitsforscher unter anderem bei den Apps von Fox News, der New York Times und des deutschen Wochenmagazins Stern. Auch weit verbreitete Spiele wie etwa PUBG Mobile, 8 Ball Pool und Fruit Ninja schnüffeln im Pasteboard herum, gleiches gilt für die Social-Networking-Apps Viber, TikTok und Weibo. Die komplette Liste haben Bykry und Mysk in ihrem Blogpost veröffentlicht.
Passwörter könnten in fremde Hände gelangenDass Apps ohne Rückfrage auf das systemweite Pasteboard zugreifen können, ist von Apple beabsichtigt, schließlich dient die Zwischenablage dem Datenaustausch zwischen Anwendungen. Folgerichtig gibt es auch keine Berechtigungseinstellungen für diese Funktion. Allerdings ist es durchaus überraschend, dass zahlreiche Apps das Clipboard heimlich auslesen, also ohne vorherige Aktion des Nutzers. Zudem ist völlig unklar, was mit den so ausgeschnüffelten Informationen geschieht. Das Verhalten stellt darüber hinaus unter Umständen ein Sicherheitsrisiko dar, denn viele iPhone- und iPad-Besitzer nutzen die Zwischenablage, um etwa Usernamen und Zugangspasswörter auf Login-Screens einzugeben. Diese könnten so in fremde Hände gelangen. Zudem besteht die Gefahr, dass auch die Inhalte des Mac-Clipboards ausgelesen werden, wenn die Allgemeine Zwischenablage aktiviert ist.