BT

InfoQ ホームページ ニュース LinkedIn iOSクリップボードのコピーのバグについて

LinkedIn iOSクリップボードのコピーのバグについて

ブックマーク

原文(投稿日:2020/07/03)へのリンク

iOS 14(Beta)がWWDCでリリースされたとき、いくつかの新しいセキュリティ機能が追加された。その1つは、アプリが異常なタイミングでクリップボードと相互作用しているかどうかを確認する機能である。多くのアプリは、クリップボードを不必要にコピーしていると指摘されている。これは、ユーザーが最近の機密性の高いパスワードまたはその他の個人用アプリケーションをコピーした場合に問題になる可能性があり、これが意図的な機能であるかどうかを疑問視する人もいる。

@DonCubed氏は、LinkedInアプリがキーストロークごとにデータをコピーしていたことをTwitterで報告した。リンクされたmacOSシステムからクリップボードデータを共有できるという事実のおかげで、ラップトップで使用されていたデータもコピーできた。

LinkedInはキーストロークごとにクリップボードの内容をコピーしています。IOS 14では、ユーザーは各ペースト通知を確認できます。

私はiPad Proを使用していますが、MacBook Proのクリップボードからコピーしています。

Tik tokがこの理由でまさに呼び出されました

他の多くのアプリも同様のことをしているとされており、その理由を(簡単に)判断することができないため、悪意を持って情報を盗んでいるという悪い結論に至る可能性がある。

ただし、LinkedInの場合、これは意図しないバグである可能性がある。LinkedInのコンシューマー製品のエンジニアリング担当副社長であるErran Berger氏は、これが修正された問題であることを明らかにした。

Hi @DonCubed. これをあげてくれてありがとう。私たちはクリップボードの内容とテキストボックスに現在入力されている内容との間の等価チェックのみを行うコードパスまでたどりました。クリップボードの内容を保存または送信することはありません。

この例は、私たちがオープンソース化したライブラリにあり、ここに修正を見つけることができます  https://github.com/linkedin/Hakawai/commit/c3f89585c097863c2017beb2a1774df21ad42da4 

修正がアプリに公開されたらフォローアップします。

他のアプリケーションがオープンソースのHakawaiコンポーネントを使用している可能性がある。これは、複数のアプリで同様のエラーメッセージが表示される理由を説明している可能性がある。別の説明としては、コードがスタックオーバーフローし、simplが多くの場所で終了した可能性がある。

このケースでは、Hakawaiコンポーネントが使用していたカスタムテキストフィールドは、ユーザーが入力したテキストをペーストボードのコンテンツと比較して、そのコンテンツが貼り付けられているかどうかを判断していた。Swift構文のUIPasteboard.general.stringである[[UIPasteboard generalPasteboard] string] &ndashに繰り返しアクセスすると、アプリに通知が表示されていた。

修正により、ライブラリから問題のコードが削除され、クリップボード自体を監視するのではなく、実際のペースト操作自体から取得した別の論理パスを使用してペーストが決定された。

- NSString *const pasteboardString = [[UIPasteboard generalPasteboard] string];
- if (pasteboardString) {
-   self.changeIsPaste = [text isEqualToString:pasteboardString];
- } else {
-   self.changeIsPaste = NO;
- }
+ self.changeIsPaste = wasPaste;

まだ、LinkedInアプリは、新しいライブラリに対して再構築され、アプリストアにデプロイされていませんが、変更が差し迫っていると考えられる。アプリは比較的頻繁に更新され、最後の更新は1週間前であり、数日以内に修正されたバージョンが表示される可能性がある。

iOSアプリを作成している場合は、UIPasteboardを使用しているかどうかを確認し、特定の要件で必要な場合にのみ使用することを検討すること。iOS 14で使うと、呼び出されるたびにユーザに通知される。

この記事に星をつける

おすすめ度
スタイル

こんにちは

コメントするには InfoQアカウントの登録 または が必要です。InfoQ に登録するとさまざまなことができます。

アカウント登録をしてInfoQをお楽しみください。

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

コミュニティコメント

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

BT

あなたのプロファイルは最新ですか?プロフィールを確認してアップデートしてください。

Eメールを変更すると確認のメールが配信されます。

会社名:
役職:
組織規模:
国:
都道府県:
新しいメールアドレスに確認用のメールを送信します。このポップアップ画面は自動的に閉じられます。