Mnoge aplikacije še vedno vohljajo po iOSovem odložišču
Jurij Kristan
5. jul 2020 ob 22:01:53
Nova funkcija preizkusne različice iOSa 14 je pokazala, da več ducatov aplikacij še vedno brez jasnega razloga dostopa do odložišča (clipboard), medtem ko je na Androidu položaj še slabše poznan.
Letošnjega marca sta raziskovalca Talal Haj Bakry in Tommy Mysk odkrila prek petdeset priljubljenih aplikacij za iOS, ki so brez jasno navedenega razloga dostopale do odložišča, kjer se shranjujejo kopirani podatki. Programje ima dostikrat čisto legitimne težnje takšne narave, na primer grafična okolja, ki tam iščejo slike, ali appi dostavnih storitev, ki opazujejo, če smo slučajno zajeli številko dostavne storitve. Toda ker se v odložišču pogosto znajdejo tudi gesla ali podatki z bančnih računov, vsekakor kaže biti pazljiv, komu dovolimo tam okoli vohljati. Spisek množice appov, ki sta ga sestavila Bakry in Mysk, je vseboval priljubljena orodja, kot sta Viber in AccuWeather, pa prikazovala najvidnejših medijskih hiš, kot so Reuters, New York Times, NPR in Fox. Ter TikTok, ki je spričo priljubljenosti dvignil največ prahu. Marca je sicer del krivde za takšno obnašanje odpadel tudi na rabo starejše, neposodobljene inačice Googlovega Mobile Ads SDKja, in takrat so se razvijalci programja pridušali, da bodo nerodnosti odpravili.
Mnogi jih niso. V Applu so 22. junija ob dogodku WWDC lansirali razvojno inačico operacijskega sistema iOS 14, ki ima več novitet, kar se tiče clipboarda. Softver ima na voljo nov API, s katerim lahko sistemu natančneje sporoči, kako in zakaj želi pokukati v odložišče, namesto da bi lomastil po njem kot doslej. Hkrati je poleg nova zmogljivost, ki vsakršne dostope javi uporabniku. Preizkuševalci so bili ob namestitvi priča precej bizarnemu delovanju nekaterih aplikacij - med katerimi je bil na vrhu zopet TikTok, ki je v clipboard špegal skorajda ob vsakem vnešenem znaku! Kitajci so jadrno pojasnili, da je dogajanje posledica nerodno spisane funkcije za boj proti spamu, ki so jo bili zato primorani s hitro posodobitvijo onemogočiti. Drugod so se trudili razložiti, da čeprav v odložišče res pogledajo, iz njega "ničesar ne sunejo", temveč zgolj na napravi izvedejo primerjavo z vsebinami, ki se tičejo njihovih storitev. Vsaj za aplikacije poznanih podjetij, ki so pod budnejšim preverjanjem, to verjetno res velja. Toda kot poudarjata Bakry in Mysk, njun spisek niti slučajno ni popoln, saj se obskurnejših appov sploh še nista lotevala.
Odložišče je pač tako v iOSu kot Androidu nalašč zdizajnirano za gladek in neslišen dostop, ki naj bi ojačal funkcionalnost programja. V Androidu so pred verzijo 10 appi lahko vanj gledali celo, ko so tekli v ozadju! Takšna "normalnost" je glavni razlog, da se je okoli tega doslej redkokdo resneje javno razburjal, zato se večina uporabnikov tega niti ni resno zavedala. Toda živimo v časih, ko se zavest o zasebnosti vsaj pri delu zainteresirane javnosti vendarle krepi, boj za digitalno varnost pa zaostruje. Spisek 53 firm, ki so se konec prejšnjega meseca znašle na tnalu, se je doslej že skrčil na dobrih trideset, nove raziskave pa se morajo sedaj usmeriti še na Android, kjer je situacija zaradi manj striktnega nadzora nad APIji prav mogoče še slabša. Mi pa imamo dodaten razlog, zakaj je treba premisliti, preden na telefon nameščamo nepreverjen softver.