iPhone und iPad: Zwischenablage verrät sensible Daten

Apps und Widgets können heimlich Inhalte aus der iOS-Zwischenablage auslesen und sie manipulieren, warnt ein Entwickler. Apple sehe kein Problem.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 55 Beiträge

Auch iOS-Widgets können die Zwischenablage auslesen.

(Bild: Mysk)

Von

Die Zwischenablage von iOS kann zum Informationsleck werden: Apps und Widgets haben ungehinderten Zugriff auf den Inhalt des systemweiten Clipboards, wie ein iOS-Entwickler demonstriert. Eine bösartige App könne so etwa auch Einblick in genaue Standortdaten erhalten, wenn ein Nutzer zuletzt ein Foto kopiert hat. Denn es lassen sich auch die Metadaten der Aufnahme aus der Zwischenablage auslesen, Zugriff auf die Standortdaten benötige die manipulierte App dafür nicht.

Der Zugriff auf Clipboard ist still möglich, aber nur, wenn eine App geöffnet wird, wie das Entwickler-Team Mysk dokumentiert hat. Vielen Nutzern dürfte nicht bewusst sein, dass aber auch iOS-Widgets die Zwischenablage einsehen können. Problematisch ist das besonders auf dem iPad respektive in iPadOS: Seit Version 13 lassen sich dort nämlich erstmals Widgets auf dem Home-Bildschirm anzeigen und bleiben so immer im Blick. Ein manipuliertes Widget ist dadurch zugleich in der Lage, bei jeder Rückkehr zum Homescreen unbemerkt den Inhalt der Zwischenablage auszulesen.

Zugriff auf die Zwischenablage mit manipuliertem Widget (Quelle: myskapps)


Neben dem Datenzugriff stelle auch die Manipulation der Zwischenablage eine Gefahr dar, schreiben die Entwickler: So wäre es einem Widget etwa möglich, eine aus einer E-Mail kopierte Bankkontonummer zu manipulieren, bevor der Nutzer diese dann in seiner Banking-App für eine Überweisung einfügt. Auch kopierte Passwörter und Zwei-Faktor-Codes könnten so abgegriffen werden. Man habe das Problem Anfang Januar an Apple gemeldet und als Rückmeldung erhalten, dass der Konzern darin kein Problem sehe, so Mysk.

Die Hürden für einen breiten Angriff auf diesem Wege sind allerdings hoch: Eine manipulierte App muss es erst durch Apples Kontrolle in den App Store schaffen und schließlich den Nutzer dazu bringen, diese zu installieren – sowie möglichst auch das Widget zu verwenden.

Lesen Sie auch

Nutzer haben keine Möglichkeit, sich davor speziell zu schützen. Eine Zugriffsberechtigung für Clipboard-Inhalte sieht iOS bislang nicht vor. Entsprechend sollte man im Hinterkopf behalten, dass alle kopierten Inhalte auch anderen Apps und Widgets zugänglich sind. Manche Passwort-Manager bieten deshalb längst die Option, kopierte Einträge automatisch nach einem bestimmten Zeitraum aus der Zwischenablage zu löschen, um das Angriffsfenster zu minimieren. Bei 1Password soll dies beispielsweise nach 90 Sekunden passieren. (lbe)