iphone-ticker.de — Alles zum iPhone. Seit 2007. 28 789 Artikel

"[App] möchte die Zwischenablage auslesen"

iOS-Zwischenablage zu gesprächig: Benötigt iOS 14 neue Abfragen?

28 Kommentare 28

Willst du diesem Computer vertrauen? Darf [App] auf deinen Standort zugreifen? [App] möchte die Mitteilungen senden. – Schon heute hält sich iOS 13 mit Hinweismeldungen, Warnungen und Berechtigungs-Nachfragen nicht wirklich zurück.

Kopieren

Dennoch befürworten die beiden Entwickler Talal Haj Bakry und Tommy Mysk die Einführung eines neuen Warnhinweises in iOS 14. Stein des Anstoßes: Die „gesprächige“ Zwischenablage des iPhone-Betriebssystems.

Diese ist laut den Analysen der beiden Programmierer zu freigiebig und teilt ihren aktuellen Inhalt mit allen Anwendungen, die diesen auslesen möchten. Dazu zählen laut Mysk auch Nachrichten-Apps, Sky Ticket, die Wetter-App Accuweather, der Streaming-Dienst DAZN und das Shopping-Portal AliExpress.

Da Apple bislang noch keine Berechtigung für den Zugriff auf die systemweite Zwischenablage vorsieht, wird der Nutzer in den meisten Fällen weder informiert noch in Kenntnis gesetzt.

Uns schießt die Initiative der beiden vorsichtigen Entwickler jedoch fast schon über das Ziel hinaus. Nicht zuletzt, da der Abgriff sensibler Informationen bislang lediglich theoretischer Natur ist – ein konkretes Beispiel einer böswilligen Applikation bleiben Bakry und Mysk schuldig. Die beiden schreiben:

Unter iOS 13.3 ist für den Zugriff auf die Zwischenablage von iOS und iPadOS keine App-Berechtigung erforderlich. Während die Zwischenablage eine einfache Möglichkeit bietet, Daten zwischen verschiedenen Apps auszutauschen, birgt sie das Risiko, dass böswillige Apps private und persönliche Daten auslesen.

Wir haben viele beliebte Anwendungen im App Store untersucht und festgestellt, dass diese häufig auf die Zwischenablage zugreifen, ohne dass der Benutzer dies bemerkt.

Unsere Untersuchung bestätigt, dass viele populäre Anwendungen den Textinhalt der Zwischenablage lesen. Es ist jedoch nicht klar, was die Apps mit den Daten machen. Um zu verhindern, dass die Apps die Zwischenablage ausnutzen, muss Apple handeln.

Also, sollte Apple hier eine neue App-Berechtigung einführen, die nach dem ersten Start neu installierter Apps abgenickt werden muss, oder weiter wie bisher verfahren und Zwischenablage diskriminierungsfrei jeder App zur Verfügung stellen?

Apple selbst hat auf die aktuelle Forderung noch nicht reagiert, hat den ersten Security-Aufschrei der beiden Entwickler jedoch schon zurückgewiesen: Als diese darauf aufmerksam machten, dass die iOS-Zwischenablage nach dem Kopieren von Fotos auch Ortsdaten preisgeben könnte, erklärte Apple, dass es sich dabei um ein erwartetes Verhalten handeln würde.

Zum Nachlesen:

Montag, 16. Mrz 2020, 9:34 Uhr — Nicolas
28 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
Rede mit!
  • Hoffe nicht, das System soll ja noch bedienbar bleiben. Das auf die Zwischenablage zugegriffen werde kann, soll ja langsam jedes Kind wissen. Liegt ja in der Natur der Sache.

    • Es würde ja schon reichen, wenn das nur ginge, wenn der Nutzer aktiv auf „einfügen“ tippt.

    • Ich hoffe das sie es einführen aber ich glaube eher das die meisten eh einfach auf alles klicken und bestätigen und so den Schutz aushebeln. Dann brauchen die sich aber nicht beschweren, für mich wäre es ein echter Gewinn!
      Genauso hoffe ich das endlich eine Möglichkeit geschaffen wird den Apps den Internetzugang komplett zu untersagen, nicht nur wenn man im Datennetz ist.

  • Finde ich auch etwas übertrieben, dies als Berechtigungsabfrage zu machen. Einschränken wäre dennoch sinnvoll, geht aber meiner Meinung nach auch ohne Abfrage: Apps dürfen einfach nicht mehr in die Zwischenablage schauen, nur noch rein schreiben. Wenn der Benutzer etwas einfügen möchte, was er kopiert hat, dann kann er es händisch einfügen. Aufwand ist nicht viel größer bei mehr Sicherheit.

    • Damit fiele aber auch ein Stückchen Komfort bei Apps weg, die die Zwischenablage automatisch nach für sie relevanten Daten durchsuchen.

      Bspw. Deliveries, das bei einer Paket-ID in der Zwischenablage direkt beim Start der App vorschlägt, die Sendung nachzuverfolgen.

      • Das ist korrekt, aber meiner Meinung nach ist der Komfortgewinn nun wahrlich gering…

    • Widgets, welche Dinge aus der Zwischenablage abspeichern -> fällt weg.
      Scripts, die den Inhalt der Zwischenablage anpassen -> fällt weg.
      Gerade bei den Widgets wäre für mich der Mehraufwand alles manuell über die App zu regeln zu müssen deutlich größer als wenn ich einmalig eine Berechtigung erteile, dass die App den Inhalt der Zwischenablage auslesen darf.

      Keine Ahnung was deine Anwendungsbereiche sind, aber für mich wäre deine Lösung ein Grund das Betriebssystem zu wechseln.
      Daher halte ich persönlich eine Berechtigungsabfrage analog zu den Kontakten/Ortungsdiensten/etc. (und eventuell eine extra API für Schaltflächen zum Abfragen der Zwischenablagen) für weniger übertrieben als die Funktion gleich komplett abzuschaffen.

  • Rückfrage und gut. Sicher ist sicher. Oder im API im Freigabeprozess kontrollieren und dann anzeigen wenn gesperrt.

  • Ich finde, Apps sollten den Inhalt nur dann zu Gesicht bekommen, wenn der Nutzer ihn mit „einsetzen“ aktiv an diese App übergibt.

    Sollte es für bestimmte Apps sinnvoll sein, dass sie unbemerkt alles aus der Zwischenablage ziehen, sollte es dafür eine Abfrage für die explizite Genehmigung geben, wie bei Ortsdaten & Co.

    • Unbedingt! In der Zwischenablage landet immerhin so einiges, von Foto bis zu Passwörter die schnell mal kopiert werden. Das ist sicher nicht zu unterschätzen.

      • Vor allem da ja bei jedem kopierten Passwort der Benutzername und App bzw. Webseite mit abgespeichert wird. // Ironie Off

    • Für mich wäre eine zusätzliche Api für Schaltflächen noch ein Punkt damit nicht alles manuell eingesetzen werden muss.

      Die App hat dann weder Berechtigungen dauerhaft alles auszulesen, noch muss der Nutzer manuell etwas in ein entsprechendes Feld mittels „einsetzen“ kopieren.
      Ein Zwischenablage Schnittstelle erlaubt den einmaligen Zugriff auf den aktuell Inhalt der Zwischenablage bequem über einen einzelnen Knopfdruck.

  • Folgendes Szenario: ich kopiere ein Passwort aus meinem Passwortmanager in die Zwischenablage um es im Browser einzufügen. Danach wechsele ich zu einer anderen tatsächlich böswilligen App. In der Zwischenablage steht noch das Passwort…
    Ich würde eine Optimierung seitens Apple begrüßen!

    • Die Frage ist wie?
      Willst du bei jeder App die du startest in Zukunft einen Abfrage weg klicken nur weil du noch Text in der Zwischenablage hast?
      Stelle mir das schnell sehr nervig vor.

      Alternative könnte sein das es nach dem einfügen eine Anfrage kommt ob der Inhalt der Ablage geleert werden soll.

      • Das wäre in der Tat sinnvoller. Oder eben das der Inhalt innerhalb 10 Sekunden wieder gelöscht wird

      • @OliverH: Die Abfrage würde ja eben nur kommen, wenn die App im Hintergrund die Zwischenablage abfragt, ohne dass der Nutzer aktiv das Einsetzen ausgelöst hat.

        Der gewohnte Prozess des Kopieren/Ausschneiden und Einsetzens bliebe unverändert ohne irgendwelche Dialoge. Der Nutzer würde allerdings informiert werden, wenn Apps ohne sein Wissen den Inhalt der Zwischenablage auslesen möchten. Da die Anzahl an Apps, die eine solche Berechtigung tatsächlich für ihre erwartete Funktionalität benötigen, sehr gering sein dürfte, wäre die Abfrage eine geeignete Maßnahme um „neugierige“ Apps zu identifizieren.

    • Mich hat es auch immer genervt, PWs in der Zwischenablage zu haben.

      Schau mal unter Einstellungen- Passwörter&Accounts – Automatisch ausfüllen
      ob deine PW App dort erscheint.. Bei KeePass Touch hat es geklappt und ich kann jetzt auf die Zwischenablage verzichten

    • Es gibt bereits jetzt eine Option, den Inhalt der Zwischenablage nach x Sekunden zu löschen. Gerade PW-Manager machen davon bereits oft gebrauch und das PW verschwindet nach z.B. 10 Sekunden aus der Zwischenablage.

    • Woher weiß denn eine böswillige App 1. das der kopierte Inhalt ein Passwort ist und 2. für welche App / Webseite dies dann wäre?

  • Wenn ich etwas in die Zischenablage kopiere das für eine bestimmte App gedacht ist geht der Wetterapp das gar nichts an. Natürlich sollte das geändert werden.

  • Dafür. Und macOS nicht vergessen

  • Die Apps ziehen übrigens NICHT zwingend aktiv irgendwas aus der Zwischenablage. Die Logmessages erscheinen, sobald man eine editierbare Eingabe ermöglicht, also etwa eine Textview auf den Screen zaubert. Den Abruf nimmt iOS vor! Ganz ohne zutun des Entwicklers.

    Klar kann der Entwickler auch aktiv Inhalte abfragen aber nur diese Zeile im Log beweist rein gar nichts.

    Außerdem: Die Zwischenablage ist seit jeher so konzipiert, dass jeder sie lesen kann. Eine Postkarte, die zwischen Apps hin und her gereicht wird, sozusagen. Nicht umsonst gibt es für Sicherheitskritische Dinge die Option, die Zwischenablage nach x Sekunden automatisch löschen zu lassen, sofern Apps das so einstellen. Klar ist das Konzet unsicher. Aber hier müsste man ggf. Unwissende einfach mal aufklären, statt immer neue Verbote und Regeln zu fordern, die am Ende die Plattfomr unbenutzbar machen würden.

  • Die besagten Zeilen über den Abruf der Zwischenablage tauchen automatisch auf, sobald eine App ein Textfeld auf den Screen zaubert. DenAbruf initiiert iOS, nicht unbedingt der Entwickler!!! Diese Logeinträge sagen also rein gar ncihts darüber aus, ob eine App die Zwischenablage ließt oder nicht!!!

  • Auch die BILD-App zieht sich die Daten aus der Zwischenablage ohne erkennbaren Grund.

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPhone, iPad, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 28789 Artikel in den vergangenen 4835 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2020 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven