Comentar (3)
La cantidad de tiempo entre copiar un archivo de una aplicación en tu iPhone y pegarlo en otra tiene preocupados a dos desarrolladores.
Si bien Larry Tesler, el inventor de Copiar y Pegar, falleció la semana pasada, la función que lo hizo famoso ahora se usa en una amplia variedad de dispositivos electrónicos, comenzando con los teléfonos inteligentes. Un gesto que se ha vuelto tan habitual que cuesta imaginar que pueda dar acceso a información sensible en tu terminal. Sin embargo, los desarrolladores Tommy Mysk y Talal Haj Bakry descubrieron que los datos copiados desde un iPhone o iPad podían ser interceptados por otras aplicaciones.
El portapapeles en el muelle
Este descubrimiento se refiere a un caso bastante particular. Los desarrolladores descubrieron que iOS le da a la aplicación que se ejecuta en primer plano acceso al portapapeles de su iPhone, que puede describirse como memoria volátil para elementos copiados recientemente (imagen, texto, contraseña, número de teléfono o enlace).
Tras copiar contenido de una primera aplicación, Apple supone que el usuario abre una segunda para pegar en ella dicho contenido, provocando que finalice el proceso. Pero si el usuario se distrae o ejecuta otros programas mientras tanto, los elementos copiados pueden pasar por todas estas aplicaciones si se comportan maliciosamente. Los desarrolladores incluso sugieren que una aplicación podría reescribir los datos accesibles en este portapapeles.
Una aplicación de prueba para validar la teoría.
Para probar su teoría, Mysk y Bakry han desarrollado una aplicación llamada Klipboard Spy, que muestra claramente la información capturada al copiar un archivo. En el caso de una fotografía, por ejemplo, la aplicación puede recuperar metadatos, incluyendo la fecha y hora de la toma, pero también las coordenadas GPS de donde se capturó la imagen. En el iPad, los widgets visibles desde la vista Hoy, y que por definición están siempre activos, también plantean dudas, ya que podrían interceptar de forma permanente los datos que pasan por el Portapapeles.
“Una aplicación maliciosa podría detectar la presencia de una información bancaria IBAN en el Portapapeles y reemplazarla con otro IBAN, esperando que el usuario realice una transferencia bancaria a este IBAN, explican los desarrolladores. Los escenarios maliciosos son innumerables”.
¿Deberíamos preocuparnos por eso?
Si bien estos escenarios son innumerables, como señalan los desarrolladores, parece bastante poco probable que ocurran. Además de la probabilidad limitada de que una aplicación se comporte de forma maliciosa, habría que confiar tanto en la distracción del usuario como en la posibilidad de que los datos que copia.
Tommy Mysk y Talal Haj Bakry indican que enviaron su artículo y el código fuente a Apple el 2 de enero de 2020. El 6 de febrero, la empresa californiana respondió que no veía una vulnerabilidad allí. Entre las soluciones recomendadas por Mysk y Bakry está la adición de un permiso de acceso al portapapeles para cada aplicación instalada en un iPhone o iPad. Pero esta vez habría que contar con la vigilancia de los usuarios...
