Mysk の研究者による新しいデモでは、すべてのアプリが iOS クリップボードに無料で無制限にアクセスできる点が明らかにされています。

動画では、開発者たちはクリップボードから収集した情報を出力するだけのダミーアプリを作成しています。ユーザーが画像をコピーすると、アプリは画像の内容と、写真の撮影場所などのメタデータを即座に確認できます。デモでは、インストールされたウィジェットがユーザーに気付かれることなく、クリップボードにコピーされたすべてのデータを密かに収集できることが示されており、この状況はさらに深刻化しています。

このビデオで紹介されている内容は、根本的に目新しいものではありませんが、すべてのサンドボックスには脱出ハッチがあることを思い出させてくれます。

結局のところ、クリップボードはどんなアプリでも静かに読み取れるように設計されています。多くのアプリがこの事実を利用して機能を提供しています。例えば、画像をクリップボードにコピーすると、ソーシャルメディアアプリはそれを検出し、作成ウィンドウのメッセージに添付するかどうかを提案します。同様に、RedditのリンクをコピーしてApolloを開くと、ApolloはクリップボードからURLを読み取り、アプリ内で自動的に目的の場所にナビゲートします。

しかし、悪意のあるアプリがこのようにして個人情報を密かに取得する可能性があることは事実です。コピー＆ペーストした内容は、システム上のあらゆるアプリ、例えば「今日」表示ウィジェットなどによって、ユーザーの知らないうちに読み取られ、保存される可能性があることを改めて認識しておく必要があります。

正常に動作するアプリであれば、このようなことは決して起こりませんが、クリップボードが読み込まれたことを示すシステムインジケーターがないため、実際に読み込まれているかどうかはわかりません。ユニバーサルクリップボードのおかげで、iOSアプリがMacでコピーされた機密性の高いコンテンツを読み取ることも可能です。

Mysk氏は、Appleに状況を報告したところ、同社はセキュリティリスクとはみなしていないと回答したと述べた。この機能は確かに設計通りに動作しているので、バグではない。

AppleはiOSのプライバシー設定に、位置情報、連絡先、Bluetoothなどのシステムサービスに既に存在するように、アプリがクリップボードにアクセスできるようにする切り替え機能を提供すべきだという意見があります。ユーザーがクリップボードの内容にアクセスするには、アプリを明示的に開く必要がありますが、iPadOSのウィジェットはホーム画面にそのまま表示されるため、iOSがウィジェットに特に厳格な制御を適用するのは理にかなっていると言えるでしょう。

アプリがクリップボードからデータを読み取っているタイミングについて、より透明性を高めたいと思いませんか？コメント欄でご意見をお聞かせください。

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。