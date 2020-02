Die Schwachstelle ist einfach zu beschreiben: Die iOS-Zwischenablage wurde von den beiden Entwicklern von Mysk mit Hilfe einer von ihnen konzipierten App namens KlipboardSpy ausgelesen. In dem speziellen Fall geht es dabei um Fotos und deren Standortdaten. Wenn ein Foto über die iOS-Zwischenablage an eine andere App, zum Beispiel zur Bildbearbeitung, weitergegeben wird, hat KlipboardSpy anschließend die Geodaten ausgelesen und weitergeleitet.

iOS- und iPadOS-Apps haben einen uneingeschränkten Zugriff auf die systemweite allgemeine Zwischenablage, was nicht allen Nutzern bekannt ist. Zudem haben Apps indirekten Zugriff, um Daten an andere Anwendungen weiterzugeben. Ein Nutzer kann so unwissentlich seine genaue Position durch einfaches Kopieren eines von der Kamera-App aufgenommenen Fotos in eine andere Anwendung preisgeben. So können die im Bild gespeicherten GPS-Koordinaten ohne Zustimmung des Nutzers weitergegeben und offengelegt werden. In einem Video demonstrieren die Entwickler einen Zugriff:

Ein Sicherheitsproblem für die iOS-Zwischenablage

Das alles ist vor allem in Sachen Datenschutz problematisch, kann in Kombination mit anderen ausgelesenen Daten auch zu einem Sicherheitsproblem werden. Die beiden Entwickler hatten ihre Erkenntnisse bereits Anfang des Jahres an Apple übermittelt und eine für sie überraschende Antwort erhalten: Apple sieht kein Sicherheitsproblem, durch das Nutzer gefährdet wären.

Die Einschätzung von Apple geht darauf zurück, dass ein Angriff über diese Schwachstelle schwierig ist – unter anderem, da manipulierte Apps zunächst die Hürde der App Store-Freigabe nehmen müssten. Der eingesetzte KlipboardSpy wäre so sicher nicht in den Store gelangt.



