Myskの研究者が作成したデモ アプリは、iPhone または iPad にインストールされているすべてのアプリがクリップボードにアクセスできることを思い出させます。それがデバイスのセキュリティに穴をあけることがない限り、これは心に留めておくべきことです。
クリップボードへの透過的なアクセス
開発者は、 クリップボードの内容をウィジェットに常に表示するシンプルなアプリを作成しました。画像をコピーすると、どのアプリでもそれを確認でき、たとえばそこから位置情報を抽出できます。開発者が、クリップボードを通過するすべての情報をユーザーに通知せずに注意深く収集する方法を示すと、状況はさらに不快になります。
これは私たちを驚かせる情報ではありませんが、システムがどのように機能するかを思い出させるのは興味深いことです。クリップボードはあらゆるアプリで読み取れるように設計されており、多くのアプリはこの機能を利用してより多くの機能を提供しています。例としては、コピーされた URL がフォローするパッケージに直接変換されるパッケージ追跡アプリや、クリップボードからアドレスを読み取ってアプリ内の対応するセクションに移動する Reddit クライアントである Apollo 自体が挙げられます。
これらの点を述べましたが、実際には、意図が不明瞭なアプリがこのアクセスを利用して多くの個人情報を収集する可能性があります。クリップボードをすべてのデバイスと同期するユニバーサル クリップボードも考慮すると、その範囲はさらに大きくなります。 iPhone または iPad がロックされている場合、Mac にコピーした要素にはアクセスできないことに注意してください。それでも、クリップボードの要素は通常、置き換えられるまで保持されるため、遅かれ早かれ、iPhone または iPad 上のアプリが情報にアクセスできるようになります。
一方、このアクセスについて透過的であると主張するアプリには、システム レベルでそれを示すリソースが不足しています。 Mysk の開発者はこの件について Apple に問い合わせたところ、同社はクリップボードが設計どおりに動作するとの回答を返しました。
アクセス制御と予防措置
遅かれ早かれ、Apple はユーザーとしてクリップボードへのアクセスを許可または拒否できる方法を実装することが予想されます。位置情報、連絡先、または Bluetooth へのアクセスと同様のシステムで、アプリがクリップボード情報にアクセスすることを個別に承認します。
一方、私たちにできる唯一のことは、信頼できるアプリのみをデバイスにインストールすることです。 Instagram、WhatsApp、Twitter、YouTube などをインストールするのはあまり一貫性がありません。そして、たとえば、デバイスの IP を通じて私たちの位置情報にアクセスしないことを期待します。確かに、iOS ではシステムがアプリの外部へのアクセスを制限しますが、仕様か監督かにかかわらず、この方法には抜け穴がある可能性があります。結局のところ、問題は、アプリを開発している会社を信頼できるかどうかということです。答えが否定的な場合は、それに応じて行動する必要があります。
この状況についてどう思いますか?アプリのクリップボード アクセス制御を確認しますか?この記事のせいでアプリをアンインストールしましたか?コメントで教えてください。