Sikkerhedsblogger undrer sig: Hvorfor snager Facebook i det, jeg copy-paster i iOS?

Illustration:
Facebook-appen i iOS har tilsyneladende automatisk adgang til den sidste streng, som man som bruger har kopieret til udklipsholderen. »Foruroligende, at apps ikke skal have tilladelse først,« skriver australsk sikkerhedsblogger.

Facebook har tilsyneladende implementeret en feature i appen til iOS, der automatisk henter indholdet af udklipsholderen uden at spørge om tilladelse først.

Hvis man har kopieret en internetadresse (url) til udklipsholderen, vil Facebook automatisk foreslå linket, idet man går i gang med at skrive en statusopdatering. Det skriver den australske sikkerhedsblogger Christian Frichot.

Han undrer sig over, at iOS-apps automatisk kan få adgang til indholdet af udklipsholderen uden at bede om tilladelse først. I Facebooks tilfælde tvivler han på misbrug, men han finder det dog foruroligende, at enhver app kan få adgang til indholdet uden videre.

Når man eksempelvis bruger en password manager til sine kodeord, indebærer det ofte, at man skal kopiere kodeordet til udklipsholderen for derefter at sætte det ind i den rigtige formular. I disse tilfælde vil apps så kunne opsnappe kodeordet, spekulerer Christian Frichot.

Han har testet Facebooks feature og er kommet frem til den konklusion, at appen kun gemmer det sidst gemte objekt i udklipsholderen, og ikke hele indholdet. Hvis han først kopierer en url og dernæst en simpel tekst-streng, vil appen ikke foreslå adressen.

»Facebook-appen analyserer det senest kopierede objekt for at afgøre, om det er en url eller ej. Hvilket betyder, at appen potentielt tilgår enhver streng i udklipsholderen,« skriver han på sin blog.

Som sådan er det ikke en nyhed, at apps har adgang til udklipsholderen. iOS bruger UIPasteboard-klassen til at tilgå udklipsholderen til copy-paste siden version 3.0 af det mobile styresystem.

»Dette er i sig selv ikke så stor en overraskelse,« skriver Christian Frichot og tilføjer:

»Men jeg har aldrig set funktionaliteten blive brugt på så ‘creepy’ en måde før.«

Funktionaliteten med at foreslå kopierede url'er virker tilsyneladende ikke i den seneste version af den danske udgave af Facebook og iOS, viser en test, som redaktionen har foretaget dags dato.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (11)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jesper Lund Stocholm Blogger

Jeg har svært ved at se problemet. Jo, hvis linket blev sendt til Facebooks servere og analyseret, så naturligvis (og jeg skal i sagens natur ikke kunne sige, om det er tilfældet) - men at en app på klientsiden smager på udklipsholderen for at hjælpe dig kan ikke være et problem.

  • 2
  • 3
René Nielsen

At Facebook spioner bør ikke komme bag på nogen. Det har den nye sag hvor Max Schrips eller hvad han nu hed, jo tydeligt vist. Af de 20.000 A4 sider som han fik udleveret var der mange ikke udgivne statements og slettede beskeder imellem!

Næe hvis du vil se noget creepy – så læs denne artikel - http://www.ibtimes.co.uk/nypd-uses-secret-x-ray-vans-ability-see-through...

  • 1
  • 0
Jakob Damkjær

Det er fordi det er indholdet i klippeklistrebufferen... det er meningen at alle apps kan læse den buffer... det er den funktion som klippeklisterbufferen har...

At facebook foreslår at man deler med resten af verden det som man har kopieret ind i den globale buffer er bare lidt "appsmarts" ikke noget andet... og det er en ikke specielt smart "appsmarts" for det er jo relativt ofte at hvis man har kopieret et link og skifter til facebook appen og aktivere status feltet så er det jo faktisk linket man gerne vil dele... hvis facebook er lidt smarte så parser de lige klippeklisterbufferen og sortere ting der ikke er i URLen fra... så folk ikke skal ha fat i facebook supporten for at få deres links til at virke... A: win (det er nemmere at dele links) B: Win (det spare facebook support omkostninger) = Winwin.

  • 6
  • 0
Lars Andersen

Næ, man skal bare huske at cleare udklipsholder hver gang man skifter app! Og aldrig gemme privat tekst i udklipsholder selvfølgelig.

Jeg kan heller ikke forestille mig en app, der kunne finde på at sende tilbage til en server for at mappe bruger adfærd! App programmører er meget gentlemen agtige med den slags privacy issues, dem kan man roligt stole på.

  • 4
  • 0
Kjeld Flarup Christensen

det er meningen at alle apps kan læse den buffer...


Ja jeg tror helt ærligt, at mange vil undre sig over at copy paste ikke længere virker.

Man kunne så dog lave det sådan, at der skulle et GUI systemkald til, som sikrede at copy paste kun kunne ske interaktivt. Jeg tror dog at den kode ligger i libraries som har samme tilladelser som selve App'en, så det løb er nok kørt.

  • 0
  • 0
Povl H. Pedersen

Det er Working as Designed. Clipboard er en af de få steder man kan dele data mellem applikationer. Brugerne forventer at det virker sådan. At applikationer så misbruger det er altid en risiko.

Det er også derfor, at password managers som 1Password giver mulighed for at slette clipboard efter eksempelvis 30 sekunder efter at man har klippet password til det. Så er sandsynligheden for at lække sit password mindre, medmindre den ondsindede facebook kode også kører i baggrunden.

  • 0
  • 0
Lars Andersen

Du har selvfølgelig ret. Man er nødt til at stole på at app programmører ikke udnytter det til "onde" formål. Her er "ondt" meget bredt defineret.

Som artikel forfatteren er jeg pikeret over at det bruges udenfor copy/paste funktionaliteten.

  • 0
  • 0
Log ind eller Opret konto for at kommentere
Jobfinder Logo
Job fra Jobfinder

Call to action

Facebook har tilsyneladende implementeret en feature i appen til iOS, der automatisk henter indholdet af udklipsholderen uden at spørge om tilladelse først. Hvis man har kopieret en internetadresse (url) til udklipsholderen, vil Facebook automatisk foreslå linket, idet man går i gang med at skrive en
statusopdatering. Det skriver den australske sikkerhedsblogger Christian Frichot. Han undrer sig over, at iOS-apps automatisk kan få adgang til indholdet af udklipsholderen uden at bede om tilladelse først. I Facebooks tilfælde tvivler han på misbrug, men han finder det dog foruroligende, at enhver app kan få adgang til indholdet uden videre. Når man eksempelvis bruger en password manager ...