Semaine de sécurité 27: Confidentialité du Presse-papiers iOS

La sortie de la version bêta d'iOS 14 pour les appareils mobiles iPhone a révélé un problème de confidentialité du presse-papiers dans certaines applications. Une nouvelle version du système d'exploitation avertit l'utilisateur lorsque l'application lit des informations dans la mémoire tampon. Il s'est avéré que de nombreuses applications le font. Ce comportement est clairement illustré dans la vidéo ci-dessous: passez à l'application, et il copie immédiatement les informations.





Dans ce contexte, l'application TikTok a été la plus discutée la semaine dernière. Les développeurs de ce service ont réagi de la manière attendue: ce n'est pas un bug, mais une fonctionnalité. Une demande de presse-papiers régulière (pas au démarrage, mais constamment lors de la saisie de texte) a été mise en œuvre pour identifier les spammeurs qui publient le même texte plusieurs fois. Antispam sera supprimé de l'application avec la mise à jour suivante. Bien qu'il n'y ait pas de menace directe pour la sécurité des données des utilisateurs, l'accès non contrôlé comporte certains risques pour la confidentialité. Soit dit en passant, les «nouvelles» n'étaient pas entièrement nouvelles: le comportement étrange des demandes a été étudié en mars de cette année.





La vidéo du tweet ci-dessus montre le comportement de l'application TikTok: lorsque l'utilisateur tape un message, il lit le tampon à chaque fois que vous entrez un espace ou un signe de ponctuation. La description détaillée du problème sur le site ArsTechnica explique pourquoi ce comportement des applications peut être dangereux. Il est clair que les mots de passe, les informations de paiement et les autres données sensibles aux utilisateurs transitent par le tampon. Mais il y a une autre caractéristique de l'écosystème Apple: si le smartphone est situé près d'un ordinateur de bureau basé sur macOS, ils ont un presse-papier commun. Les informations copiées du tampon ne sont pas effacées et y restent jusqu'à la prochaine opération. Il s'avère qu'il est disponible pour les développeurs d'applications populaires, et s'il n'y avait pas eu l'innovation dans iOS 14, personne n'aurait été au courant de ce comportement.



Plus précisément, seuls les experts sauraient. En mars, une étude a été publiée qui a identifié des dizaines d'applications ayant un comportement similaire. Parmi ceux qui ont accédé au presse-papiers, des hausses de médias populaires, de jeux et d'applications de démonstration des prévisions météorologiques ont été remarquées. La capture du presse-papiers est parfois utilisée pour la commodité de l'utilisateur: par exemple, lorsque vous vous connectez à votre compte, un message vous est envoyé par e-mail avec un code. Vous copiez le code, et il est automatiquement récupéré lorsque vous revenez dans l'application.



Mais c'est une fonctionnalité complètement optionnelle, et il n'est pas tout à fait clair pourquoi les balles et le golf ont accès au presse-papiers. De toute évidence, dans toutes les applications mentionnées, la lecture du tampon a été implémentée «pour la commodité de l'utilisateur» ou, du moins, pour la commodité des développeurs. On ne sait pas ce qui se passe ensuite avec les données copiées. En parlant strictement de logiciels malveillants, l'interception du presse-papiers est une fonctionnalité standard de vol d'informations utilisateur, parfois directement orientée vers la reconnaissance et le vol des données de carte de crédit.



Une collision intéressante a été révélée: le presse-papiers, par définition, devrait être accessible à tous. C'est presque le dernier avant-poste de liberté et d'interaction dans les systèmes d'exploitation mobiles modernes, où plus les applications sont éloignées, plus strictement, isolées les unes des autres et des données des utilisateurs. Mais l'accès irréfléchi au tampon, lorsque l'utilisateur n'allait pas copier et coller quoi que ce soit, n'est pas non plus la meilleure pratique. Il est possible que les développeurs devront changer quelque chose dans leurs applications. Sinon, au moins avec la sortie d'iOS 14, les utilisateurs verront beaucoup du même type de notifications sur l'accès au presse-papiers.



Que s'est-il passé



Google Analytics peut être utilisé pour collecter et exfiltrer les données des utilisateurs. Un expert de Kaspersky Lab analyse une véritable attaque à l'aide d'un service d'analyse.



La mise à jour du pilote Nvidia (version 451.48 pour la plupart des cartes graphiques GeForce) couvre de graves vulnérabilités, y compris l'exécution de code arbitraire.





Résultats intéressants de la recherche d'une base de données de milliards de mots de passe collectés à partir de fuites. Un total de 168 millions de mots de passe uniques ont été obtenus. Moins de 9% des mots de passe ne sont présents qu'une seule fois dans les fuites, c'est-à-dire que la plupart des mots de passe sont les plus susceptibles d'être réutilisés. Près d'un tiers des mots de passe sont composés de lettres et ne contiennent ni chiffres ni caractères spéciaux.



Un article sur l'attaque NotPetya de 2017 contre la compagnie maritime Maersk par un initié informatique.



Le Congrès américain continuediscussion de la législation prévoyant la présence de «portes dérobées» dans les systèmes de cryptage sur les appareils des utilisateurs. Cette approche est critiquée par les cryptographes: vous ne pouvez affaiblir la protection que dans l'intérêt des forces de l'ordre. La capacité de décrypter les données à l'aide d'une «clé secrète» peut éventuellement être accessible à tous.



Le 25 juin, Akamai a rapportépour empêcher l'une des plus grandes attaques DDoS. L'article propose également une nouvelle méthode de mesure de la puissance d'attaque: en «paquets par seconde». Cette innovation était nécessaire en raison des propriétés de l'attaque: chacun des systèmes attaquants n'a pas essayé de "colmater" le canal du fournisseur avec du trafic, mais a envoyé de petits paquets de données d'un seul octet. Dans le même temps, les demandes de déchets ont été envoyées avec une intensité élevée: jusqu'à 809 millions de demandes par seconde.



La base de données de 40 millions de paires de téléphones de connexion dans le messager Telegram a été mise en libre accès . Parmi les utilisateurs entrés dans la base de données, 30% viennent de Russie. Très probablement, la base de données a été collectée en abusant de la fonctionnalité standard du messager, qui vous permet de trouver des utilisateurs par numéro de téléphone, s'il est enregistré dans le carnet d'adresses.



All Articles