Согласно новому исследованию Талала Хадж Бакри и Томми Миска, десятки популярных приложений для iOS читают содержимое буфера обмена без согласия пользователя, что может включать конфиденциальную информацию.

Расследование показало, что многие популярные приложения, такие как TikTok, 8 Ball Pool™ и Hotels.com, незаметно читают любой текст, находящийся в буфере обмена, каждый раз при запуске приложения.

Начиная с iOS 13.3, приложения для iOS и iPadOS имеют неограниченный доступ к системному буферу обмена, также известному как клипборд.

Текст, оставленный в буфере обмена, может быть незначительным, но он также может содержать очень конфиденциальные данные, такие как пароли или финансовая информация. Потенциальные риски безопасности этой уязвимости ранее исследовались Бакри и Миском, которые обнаружили утечку точной информации о местоположении через системный буфер обмена.

Были проанализированы различные приложения, от популярных игр и приложений для социальных сетей до новостных приложений крупных новостных организаций, таких как Fox News или The Wall Street Journal, с использованием стандартных инструментов разработки Apple. Многие из этих приложений не предоставляют никакого пользовательского интерфейса для управления текстом, однако они считывают текстовое содержимое буфера обмена каждый раз при их запуске.

Стоит также отметить, что при включенном Универсальном буфере обмена приложение может получить доступ ко всему, что было скопировано на Mac.

Что именно делают эти приложения с содержимым буфера обмена после его считывания, неизвестно.