A telefonon a másolás és beillesztés annyira automatikus, hogy szinte bele sem gondolunk. De valahányszor ezt teszed, az információ áthalad egy érzékeny helyen: a vágólapon. És onnan, Más alkalmazások akár „lehallgathatják” is, amit másolt.Az egyszerű szövegektől kezdve a jelszavakon, 2FA kódokon vagy banki adatokon át, mind az Android, mind az iOS beépített riasztásokat és eszközöket, amelyek jelzik, ha ez megtörténik.
A mobil operációs rendszerek legújabb verzióiban kifejezetten erre a célra kerültek hozzáadásra indikátorok, hozzáférési előzmények és adatvédelmi funkciók: annak megállapítása, hogy egy alkalmazás az Ön engedélye nélkül fér-e hozzá a vágólaphoz, kamerához, mikrofonhoz vagy más bizalmas engedélyekhezNézzük meg részletesen, hogyan működik mindez, mik a korlátai, és mit tehetsz, hogy jobban megvédd magad.
Miért olyan érzékeny a vágólap az adatvédelemre?
Amikor valamit másolsz a telefonodra, legyen az szöveg, fénykép vagy kártyaszám, a tartalom a rendszer egy megosztott területére, az úgynevezett vágólapra kerül mentésre, és Bármely alkalmazás, amely hozzáfér a vágólaphoz, elolvashatja a tartalmat, amíg az ott van.Nem kell külön engedélyt adnod neki, mint a kamerával vagy a helyszínnel, ami nagyon vonzó lehetőséggé teszi a furcsa vagy rosszul megtervezett alkalmazások számára.
Évek óta Androidon és iOS-en, Az alkalmazások a felhasználó észrevétlenül „ránézhettek” a vágólapra.még akkor is, ha kinyitottad őket, vagy amikor valami másra használtad őket. Ez nagy horderejű esetekhez vezetett, amikor kiderült, hogy mindenféle alkalmazás (közösségi hálózatok, időjárás-alkalmazások, újságok, online áruházak...) sokkal gyakrabban olvasta a vágólapot, mint amennyire szükséges volt.
A probléma itt nem csak technikai jellegű, hanem azzal is, hogy milyen adatokat másolsz. Ez nagyon gyakori az embereknél Jelszavak, SMS-ben hitelesítő kódok, kártyaszámok vagy teljes címek másolásaHa egy gátlástalan alkalmazás hozzáférést kap oda, rendkívül értékes információkkal rendelkezik, amelyekkel nyomon követheti Önt, vagy a legrosszabb esetben csalást követhet el.
Mi változott iOS és Android rendszeren a vágólap elérésével kapcsolatban?
Az Apple volt az első, aki merész lépést tett az iOS 14-gyel: Minden alkalommal, amikor egy alkalmazás hozzáfér a vágólaphoz, a rendszer egy értesítést jelenít meg a képernyőn.Ez az egyszerű üzenet felfedte, hogy olyan alkalmazások, mint a TikTok, a nagyobb médiaorgánumok és még néhány online áruház is olyan örömmel olvassák a vágólapot, amit nem is fáradtak leplezni.
Látva az intézkedés hatását, a Google úgy döntött, hogy ugyanebbe az irányba halad. Az Android 12-től kezdődően egy adatvédelmi beállítás is bekerült, amely, ha engedélyezve van, lehetővé teszi a következőket: A telefon értesíti Önt, amikor egy alkalmazás hozzáfér a vágólapra másolt szöveghez, képekhez vagy egyéb tartalomhoz.Az ötlet ugyanaz: a felhasználó láthatja, mely alkalmazások dugják az orrukat oda, ahová nem kellene.
Továbbá, magán az Androidon belül is egyre nehezebbé vált a vágólaphoz való hozzáférés a verziótól függően: Az Android 10-es és újabb verziókban a háttéralkalmazások már nem tudják olyan könnyen beolvasni az előtérben futó alkalmazás vágólapjának tartalmát.Ez nagymértékben csökkenti a képernyőn nem látható folyamatokból származó csendes támadásokat.
Valós eset: alkalmazások, amelyek "figyelnek" a vágólapon
A TikTok iOS 14-es példája közismert volt: a rendszerértesítések egyértelművé tették, hogy Az alkalmazás folyamatosan ellenőrizte a vágólapot.Állítólag a spam vagy gyanús viselkedés észlelésére szolgál, de a gyakorlatban sokkal több információt gyűjt, mint amennyit egy átlagos felhasználó gondolna. A vitát követően a vállalatnak gyorsan meg kellett változtatnia ezt a gyakorlatot.
Ugyanez történt más alkalmazásokkal, mint például az AccuWeather, a nagyobb médiumokkal, mint a The New York Times vagy a Wall Street Journal, vagy az e-kereskedelmi óriásokkal, mint az AliExpress, amelyek… Figyelmeztetés nélkül rajtakapták őket, amint a vágólaphoz nyúltak.Néhány esetben technikai indoklás volt érvényben, máskor inkább a bizalommal való szembenézésről volt szó.
A minta egyértelmű: rendszerértesítések nélkül a felhasználó semmit sem tud; értesítésekkel, Az alkalmazásokra nyomást gyakorolnak, hogy igazolják ezt a hozzáférést, vagy egyszerűen teljesen leállítsák. A nyilvános botrány elkerülése érdekében. Az átláthatóság, még ha csak egy apró tábla kihelyezéséről is van szó, nagyon hatékony elrettentő erő.
Hogyan lehet megállapítani, hogy egy alkalmazás hozzáfér-e a vágólaphoz Androidon?
Androidon a helyzet nagyban függ a rendszer verziójától. Ennek ellenére számos védelmi és naplózási réteg létezik, amelyeket érdemes megérteni, hogy tudjuk, kinek mihez van hozzáférése.
Vágólap-hozzáférési értesítések Android 12-es vagy újabb rendszeren
Az Android 12-től kezdődően van egy adatvédelmi opció, amely a rendszert... Kis értesítés megjelenítése, amikor egy alkalmazás hozzáfér a vágólaphozHasonló ahhoz az értesítéshez, amely akkor jelenik meg, amikor egy alkalmazás a kamerát vagy a mikrofont használja, csak ebben az esetben a másolt tartalomra vonatkozik.
A szokásos útvonal (márkától függően kissé eltérhet) nagyjából így néz ki: Beállítások > Adatvédelem > Vágólap-hozzáférés megjelenítéseHa engedélyezve van, minden alkalommal, amikor egy alkalmazás beolvassa a vágólapot, néhány másodpercig egy üzenet jelenik meg a képernyő tetején, amely jelzi, hogy melyik alkalmazás olvasta be.
Vannak fontos árnyalatok: például a Gboard billentyűzet Általában mentesül ezek alól a figyelmeztetések alól.Ez azért van, mert maga a rendszer az, és az alapvető funkciókhoz a vágólapra kell olvasnia a tartalmat. Ha pedig ezek az értesítések zavarnak, ugyanebből a menüből letilthatja őket, bár ezzel elveszíti az átláthatóság rétegét.
Android verziókorlátok és kockázatok régebbi verziókban
Az Android 9-es és korábbi verziókban a helyzet lényegesen veszélyesebb volt: Bármelyik, a háttérben futó alkalmazás képes volt olvasni az előtérben futó alkalmazáshoz társított vágólapot.Korlátlanul és anélkül, hogy észrevennéd. Ha még mindig egy régebbi verziót használsz, sokkal nagyobb kockázatnak van kitéve.
Az Android 10 egy kulcsfontosságú változást vezet be: korlátozza a vágólaphoz való hozzáférést a háttérfolyamatok közül, ami… Megakadályozza, hogy egy olyan alkalmazás, amelyet nem aktívan használsz, kémkedjen a másik alkalmazásban lemásolt tartalmak után.Az Android 13-ban pedig a vágólap tartalmának automatikus törlése egy bizonyos idő elteltével hozzáadódik, csökkentve az adatok láthatóságának idejét.
A fejlesztők számára az Android egy speciális vízjelet is kínál, amelyet a másolt tartalmakra alkalmazhatnak, például ClipDescription.EXTRA_IS_SENSITIVE vagy android.content.extra.IS_SENSITIVEEz a funkció lehetővé teszi a rendszer és a billentyűzet számára, hogy elrejtse a szöveg előnézetét a vágólapon. Ha egy alkalmazás nagyon érzékeny adatokat kezel (banki információk, 2FA kódok, jelszavak stb.), akkor ezt a tartalmat így kell megjelölnie, hogy mások ne láthassák könnyen.
Hogyan lehet kihasználni az engedélyezési előzményeket Androidon?
Bár az Android jogosultságelőzményei elsősorban a kamerára, mikrofonra, helyadatokra és hasonló jogosultságokra összpontosítanak, általános felhasználói viselkedésjelzőként szolgálnak. Számos újabb Android-kinézetben a következő címen érhető el: Beállítások > Biztonság és adatvédelem > Adatvédelem > Összes engedély megtekintése hogy áttekinthesse, mely alkalmazások fértek hozzá az egyes engedélyekhez és mikor.
Ezen a panelen két fő nézetet láthat: egy listát, amely jogosultságtípus (kamera, mikrofon, névjegyek stb.) szerint van rendezve, és egy másikat. alkalmazásonként, ahol áttekintheti, hogy az egyes alkalmazások mit használtak.Bár a vágólapot nem kezeli a rendszer klasszikus engedélyként, ha azt látja, hogy egy alkalmazás már más engedélyekkel is gyanúsan viselkedik, logikus, hogy gyanakodjon arra is, hogy mit csinálhat a másolással és beillesztéssel.
Ha furcsa hozzáférést észlel (például egy játék látható ok nélkül kér kamerát vagy névjegyeket, vagy egy zseblámpa alkalmazás abszurd hozzáférési listával rendelkezik), az óvatosság az, hogy Vond vissza azokat, amelyeknek nincs értelme, sőt, fontold meg az alkalmazás eltávolítását is.Minél kevesebb jogosultsággal rendelkezik egy alkalmazás, annál kevesebb kárt okozhat, ha nem megfelelően működik.
Engedélyfigyelő és extra rétegek egyes Android-eszközökön
Néhány gyártó saját eszközöket ad hozzá. Bizonyos Samsung telefonokon például van egy „Alkalmazásengedély-figyelő”, amely figyelmeztet, ha egy háttéralkalmazás egy adott engedélyt próbál használniamellett, hogy az összes tevékenységet rögzíti egy kereshető előzményben.
Ez történt egy újságíróval, aki látta, hogy egy légitársasági alkalmazás megpróbál hozzáférni a telefonja kamerájához, annak ellenére, hogy az engedély le volt tiltva. A monitor riasztást váltott ki, lehetővé téve számára, hogy felfedezte, hogy az alkalmazás ésszerűtlen időpontban próbálta megnyitni a kamerát, ami heves vitát váltott ki a közösségi médiában.
Ezekben az esetekben a rendszer általában figyelmeztet a kísérletre, de ha az engedélyt megtagadják, Az alkalmazás valójában nem használja a kérdéses kamerát vagy érzékelőtEnnek ellenére maga a kísérlet egy figyelmeztető jel, amelyet nem szabad figyelmen kívül hagyni.
Hogyan állapítható meg, hogy egy alkalmazás hozzáfér-e a vágólaphoz iOS rendszeren
Az Apple ökoszisztémájában a vágólap viselkedése is sokat változott az elmúlt években, olyan intézkedésekkel, amelyek célja a Tudja meg, mely alkalmazások tekintik meg a másolt adatait, és hogyan csökkentheti az automatikus hozzáférést.
Vágólap-hozzáférési értesítések iOS 14-es és újabb rendszerekben
Az iOS 14 óta, valahányszor egy alkalmazás beolvassa a vágólapot, egy értesítés jelenik meg a képernyő tetején, amely jelzi, hogy melyik alkalmazás tette ezt. Ez azt jelenti, hogy Ha ezt az üzenetet anélkül látod, hogy manuálisan beillesztettél volna valamit, akkor az alkalmazás önállóan „megnézte” a vágólapot..
Ezt a funkciót megelőzően az automatikus hozzáférés nagyon gyakori volt: Sok alkalmazás egyszerűen megnyitással vagy képernyőváltással ellenőrizte a másolt elemeket.Akár a kényelem, akár a követőrendszereik táplálása érdekében, ezek a leolvasások mostantól vizuális riasztás formájában nyomot hagynak, ami sok fejlesztőt arra kényszerít, hogy újragondolja a viselkedését.
Ez a mechanizmus nem tesz különbséget a jogos és a visszaélésszerű felhasználások között, de megadja a szükséges minimális információkat annak eldöntéséhez, hogy megbízol-e az alkalmazásban. Ha azt látod, hogy egy olyan alkalmazást alig használsz, Folyamatosan olvassa a vágólapot; jó okod van visszavonni az engedélyeket, vagy teljesen eltávolítani..
Biztonságos beillesztés és módosítások az iOS 15-ben
Az iOS 15-tel az Apple bevezette a Biztonságos beillesztés nevű fejlesztést. Ez a funkció lehetővé teszi a fejlesztők számára... Implementáljon egy olyan rendszert, ahol bár az alkalmazásnak hozzá kell férnie a vágólaphoz, valójában nem "látja" a tartalmat, amíg a felhasználó nem hagyja jóvá. Ragasztáskor. Ez egyfajta közbenső réteg, amely csökkenti a csendes hozzáférést.
A probléma az, hogy nem minden alkalmazás alkalmazkodott ehhez a rendszerhez. Ha továbbra is megjelenik a vágólap-hozzáférési értesítés egy adott alkalmazás használatakorEz általában azt jelzi, hogy a fejlesztők még nem integrálták a Secure Paste-et, és a tartalomhoz a hagyományos módon férnek hozzá.
Az Apple egyelőre nem kínál módot arra, hogy teljesen megakadályozzuk egy alkalmazás vágólapra helyezésének elolvasását, ha úgy döntünk, hogy használjuk, az értesítésekben és a saját döntésünkben megadott információkon túl. Hagyd abba vagy távolítsd el azokat az alkalmazásokat, amelyek viselkedése nem tetszik.Ha szeretnéd befolyásolni az ilyen típusú funkciókat, közvetlenül az Apple-nek küldhetsz javaslatokat a termék-visszajelzési űrlapjaikon keresztül.
Kamera- és mikrofonjelzők további segítségként
Bár az eredeti kérdés a vágólapra irányul, iOS-ben nagyon hasznos tisztában lenni a mikrofon és a kamera elérésének fizikai jelzőivel: Egy narancssárga pont jelenik meg a mikrofon, és egy zöld pont a kamera használatakor.a képernyő tetején.
Ezek a pontok azonnali „jelzőként” működnek. Ha ezt látod A zöld vagy narancssárga pont akkor aktiválódik, ha nem rögzítesz, nem telefonálsz, és nem készítesz fényképet.Ez gyanút kelt az általad jelenleg használt alkalmazással kapcsolatban. Ez egy egyszerű, de hihetetlenül hatékony eszköz a szokatlan hozzáférések észlelésére.
Androidon hasonlót tehetsz olyan alkalmazásokkal, mint az Access Dots, amelyek LED-jelzőket jelenítenek meg a képernyőn, hogy figyelmeztessenek, amikor egy alkalmazás a kamerát vagy a mikrofont használja.Nem natív, mint az iOS-en, de vizuális vezérlési réteget ad hozzá, ami nagyon hasznos a furcsa viselkedés észleléséhez.
Mit láthat egy alkalmazás a vágólapról, és miért kockázatos ez?
Egy alkalmazás, amely hozzáfér a vágólaphoz, nem csak egy „értelmetlen szöveget” lát. Attól függően, hogy mit másolsz, Hozzáférhetnek nagyon személyes URL-címekhez, az egyik közösségi hálózatról a másikra átvitt fényképekhez, telefonszámokhoz, fizikai címekhez, vagy akár teljes banki adatokhoz is..
Egy támadó számára ez aranyat ér: a másolt tartalom, a böngészési szokásaid és az alkalmazás által már meglévő egyéb adatok kombinációja nagyon egyszerűvé teszi a dolgot. hogy részletes profilt készíts magadról, arról, hogy ki vagy, mit csinálsz és kikkel beszélszPénzügyi vagy hitelesítési alkalmazásokban a kockázat még jobban megnő, mivel ellenőrző kódok vagy kártyaszámok rögzíthetők.
Ezért az OWASP, az alkalmazásbiztonsági szabvány, a vágólapkezelést is magában foglalja a MASVS-CODE kódminőségi kategóriaA vágólap nem megfelelő megvalósítása egy alkalmazásban megnyithatja az utat más alkalmazások vagy támadók számára, hogy szinte könnyedén rendkívül érzékeny adatokhoz jussanak.
Mit csinálnak a szakértők és az olyan eszközök, mint az AppCensus?
Ahhoz, hogy pontosan tudjuk, mit csinál egy alkalmazás belsőleg, nem elég látni, hogy milyen engedélyeket kér a tárolóban. Az engedély kérése egy dolog, de az, hogy mikor és hogyan használják fel, egészen más.A legtöbb felhasználónak nincs módja látni ezeket a részleteket a mobiltelefonján.
Az olyan intézmények kutatói, mint az ICSI, olyan projekteket hoztak létre, mint az AppCensus, ahol Módosítanak egy Android-verziót, hogy felkészítsék a rendszert, és pontosan rögzítsék, hogy az alkalmazások milyen adatokhoz és mikor nyúlnak hozzá.Ez nem olyasmi, amit a Google Playről lehet telepíteni, mint egy normál alkalmazást, mert mélyreható változtatásokat igényel az operációs rendszerben.
Ezen elemzés során több ezer alkalmazást fedeztek fel (az egyik vizsgálatuk során több mint 12 000-et), amelyek Továbbra is gyűjtötték a személyes adatokat, miután a felhasználó kifejezetten megtagadta a hozzájárulásukat.A potenciálisan érintett felhasználók száma több százmillió, ami képet ad a probléma mértékéről.
Az átlagfelhasználó számára az olyan eszközök, mint az AppCensus, elsősorban információforrásként szolgálnak: Mielőtt telepítenéd vagy tovább használnád egy népszerű alkalmazást, ellenőrizheted, hogy mit csinál valójában az adataiddal.Nem tökéletes, de jobb, mint kizárólag az áruház leírására vagy a végtelen, kétértelmű adatvédelmi irányelvekre hagyatkozni.
Hogyan tekintheti át és szabályozhatja az alkalmazásengedélyeit?
Bár a vágólap nem kínál olyan közvetlen vezérlést, mint a kamera vagy a mikrofon, a biztonságod jelentős része ettől függ. Kezeld bölcsen az egyes alkalmazások fennmaradó engedélyeit., Androidon és iOS -en is.
Androidon az alkalmazások listáját és azok engedélyeit az adatvédelmi és biztonsági beállításokban tekintheti meg: kamera, mikrofon, hely, névjegyek, tárhely stb.Néhány réteg lehetővé teszi annak kiválasztását, hogy egy alkalmazás mindig, csak használat közben vagy csak egyszer használhatja-e az engedélyt.
iOS rendszeren valami hasonló történik: a beállítások adatvédelmi részében kategóriák szerint (kamera, mikrofon, fotók, helyszín…) lépkedhetsz a következőkre: Nézd meg, mely alkalmazásoknak van engedélyük, és egyetlen koppintással tiltsd le őket.Ne feledd, hogy bizonyos funkciók működésképtelenné válnak, ha eltávolítod a kulcsfontosságú engedélyeket, de szinte mindig visszaadhatod őket, amikor tényleg szükséged van rájuk.
Gyakorlati tippek a felhasználó védelméhez
A rendszerriasztásokon és a fejlett funkciókon túl a legjobb védekezés továbbra is a józan ész. Egy alkalmazás telepítése előtt Vizsgáld meg alaposan a kért engedélyeket, és kérdezd meg magadtól, hogy valóban szüksége van-e rájuk ahhoz, hogy azt tegye, amit ígér.Egy zseblámpa, ami hozzáférni akar a névjegyeidhez, a pontos tartózkodási helyedhez és a fotóidhoz, enyhén szólva is gyanús.
Ha több alkalmazásod is van, ami ugyanazt a dolgot csinálja, mindig azt válaszd, amelyik Kevesebb engedélyt kérj, mint amennyit feleslegesnek vagy túlzottnak tartasz.Gyakran vannak ugyanolyan jó alternatívák, amelyek jobban tiszteletben tartják az Ön adatainak védelmét, egyszerűen azért, mert a fejlesztőik úgy döntöttek, hogy nem gyűjtenek adatokat hirdetésekhez vagy agresszív elemzéshez.
Androidon, ha nem tudsz frissíteni egy újabb verzióra, akkor sok értelme van egy olyan alkalmazást használni, amely A vágólap tartalmának automatikus törlése egy idő utánAz Android 13-as és újabb verziói óta a rendszer ezt automatikusan elvégzi, de a korábbi verziókban nem. Ez csökkenti a rosszindulatú alkalmazások sebezhetőségét, amelyek megpróbálhatják elolvasni a másolt tartalmakat.
Záró megfontolások
Végül, szokásoddá tedd, hogy ha lehet, ne másolj és illeszd be a különösen érzékeny adatokat. Jelszókezelők biztonságos automatikus kitöltéssel A jelszavak manuális másolása helyett, és ha ideiglenes kódot kell másolnod, próbáld meg beilleszteni és a lehető leghamarabb törölni, hogy ne maradjon a vágólapon a szükségesnél tovább.
Végső soron a vágólap egy hihetetlenül kényelmes eszköz, de egyben egy kis aranybánya is minden olyan alkalmazás számára, amely többet akar tudni rólad, mint kellene. Az Android és iOS legújabb verzióinak köszönhetően most már rendelkezünk riasztásokkal, előzményekkel és extra lehetőségekkel, amelyek lehetővé teszik számunkra, hogy észleljük, ki látja a másolt tartalmakat, és leállítsuk azokat. Azonban továbbra is kulcsfontosságú, hogy kritikus szemmel vizsgáljuk meg az engedélyeket, korlátozzuk a telepítést a valóban szükséges alkalmazásokra, és körültekintően bánjunk azzal, hogy mit másolunk és illeszünk be, mert a napi digitális adatvédelem jelentős része forog kockán. Oszd meg ezt az útmutatót, és több felhasználó is megismerheti a témát.