iOS- und iPadOS-Apps haben unbegrenzten Zugriff auf die systemweite allgemeine Zwischenablage, schreiben die Entwickler von Mysk in ihrem Blog zum Thema . Dazu reicht es nach ihren Untersuchungen bereits, ein Foto in iOS zu kopieren, schon kann eine aktive App oder ein Widget die GPS-Koordinaten auslesen und mittels dieser Informationen herausfinden, wo das Foto aufgenommen wurde. Dies geschieht völlig ohne Kenntnis des iOS-Nutzers. In einem Video von etwa zweieinhalb Minuten zeigen die Entwickler, wie dies mit ihrer nur für diesen Zweck entwickelten App KlipboardSpy funktioniert (Zwischenablage heißt auf Englisch Clipboard). Die Entwickler behaupten im Video, dass damit genaue Ortungsdaten der Nutzer bekannt werden, doch selbst im Video werden die GPS-Daten aus dem EXIF-File rauskopiert, die App hat keinen direkten Zugang zu den aktuellen Ortungsdaten des iPhones. Wie dem auch sei, die Entwickler haben erfolgreich gezeigt, dass bei der iOS-Zwischenablage wenig Transparenz herrscht und böswillige Apps dies ausnutzen können.
Gefahrenpotenzial iOS-Widgets
Eigentlich funktioniert dies nur, wenn Apps aktiv im Vordergrund agieren. Doch es gibt andere Wege, wie die Entwickler zeigen. Speziell Widgets im iPadOS, die seit iOS 13 jederzeit aktiv auf dem Homescreen verbleiben können, sind demnach immer in der Lage, sensible Daten aus der Zwischenablage zu übernehmen. Zwar lässt sich darauf hinweisen, dass man seine GPS-Daten auch potenziell preisgibt, wenn man beispielsweise ein Foto auf Facebook oder bei anderen sozialen Netzwerken veröffentlicht. Doch immerhin geschieht dies dann bei entsprechenden Kenntnissen mit einem bewussten Risiko und lässt sich gegebenenfalls gezielt unterbinden.
Auch andere Datenarten betroffen
Bei diesem unbegrenzten Zugriff auf die Zwischenablage, den Apple aktiven Apps oder Widgets gewährt, ist dies aber nicht der Fall. Daher fordern die Entwickler Apple auf, dieses Sicherheitsrisiko zu stopfen, obwohl Apple das bisher trotz Kenntnis dieses Vorgangs durch die Entwickler ablehnt. Doch nicht nur GPS-Daten sind davon betroffen, sondern alles, was in die Zwischenablage vom Nutzer hinein kopiert wird, darunter zum Beispiel Bankdaten wie eine IBAN, Passwörter, Telefonnummern, Kontakte, Internetadressen und vieles andere mehr, was an sich nur für den eigenen Bedarf gedacht ist.
Unserer Meinung nach:
Apple macht es sich da einfach, meiner Meinung nach ist die Sicherheit der Zwischenablage aber ein grundsätzliches Problem, das nicht ohne große Einschränkungen des Bedienkomforts lösbar ist: Eine Abhilfe wäre, dass jede App erst Zugriff auf die Zwischenablage erfragen muss – was aber eine weitere lästige Freigabe bedeutet. Das Problem ist außerdem nicht ganz neu und wurde unter Android schon öfter diskutiert, zuletzt 2017 .
Mit iOS 10 hat Apple einige Einschränkungen des Zugriffs auf die Zwischenablage integriert.
In der Praxis gibt es für einen Anwender außerdem selten einen Grund, Fotos oder Passwörter in die Zwischenablage zu kopieren. Für Passwörter ist der iCloud-Schlüsselbund, für Fotos die Sharing-Funktion verantwortlich. Sensible Daten wie Kreditkartennummern in die Zwischenablage zu kopieren, sollte man aber wohl besser unterlassen. Dabei sollte man auch Handoff nicht vergessen, das ja die Zwischenablage zwischen Geräten überträgt.