Копирането и поставянето на телефона ви е толкова автоматично, че почти не се замисляме за него. Но всеки път, когато го правите, тази информация преминава през чувствително място: клипборда. И оттам, Други приложения могат дори да „подслушват“ това, което сте копирали.От обикновен текст до пароли, 2FA кодове или банкови данни, както Android, така и iOS включват известия и инструменти, които да ви уведомят, когато това се случи.
В най-новите версии на мобилните операционни системи са добавени индикатори, истории на достъп и функции за поверителност специално за тази цел: за да разберете дали дадено приложение осъществява достъп до вашия клипборд, камера, микрофон или други чувствителни разрешения без ваше разрешениеНека разгледаме подробно как работи всичко това, какви са ограниченията му и какво можете да направите, за да се защитите малко по-добре.
Защо клипбордът е толкова чувствителен към вашата поверителност?
Когато копирате нещо на телефона си, независимо дали е текст, снимка или номер на карта, това съдържание се запазва в споделена област на системата, наречена клипборд, и Всяко приложение с достъп до клипборда може да прочете това съдържание, докато е там.Не е необходимо да му предоставяте специално разрешение, както бихте направили с камерата или местоположението, което го прави много привлекателен вариант за странни или лошо проектирани приложения.
В продължение на години, на Android и iOS, Приложенията биха могли да „гледат“ в клипборда, без потребителят да забележи.дори когато сте ги отворили или докато сте ги използвали за нещо друго. Това доведе до нашумели случаи, при които беше открито, че приложения от всякакъв вид (социални мрежи, приложения за времето, вестници, онлайн магазини...) четат клипборда много по-често от необходимото.
Проблемът тук не е само технически, а и в това какви данни копирате. Много често се случва хората... Копиране на пароли, SMS кодове за потвърждение, номера на карти или пълни адресиАко някое безскрупулно приложение получи достъп до там, то разполага с изключително ценна информация, за да ви проследи или, в най-лошия случай, да извърши измама.
Какво се е променило в iOS и Android по отношение на достъпа до клипборда?
Apple бяха първите, които направиха смел ход с iOS 14: Всеки път, когато приложение достъпва клипборда, системата показва известие на екрана.Това просто съобщение разкри, че приложения като TikTok, големи медийни издания и дори някои онлайн магазини четат клипборда с радост, която дори не са си направили труда да скрият.
Виждайки въздействието на тази мярка, Google реши да се насочи в същата посока. Започвайки с Android 12, е включена настройка за поверителност, която, ако е активирана, прави така, че Телефонът ви ще ви уведоми, когато приложение получи достъп до текст, изображения или друго съдържание, което сте копирали в клипборда си.Идеята е същата: потребителят да може да види кои приложения си пъхат носа там, където не трябва.
Освен това, в самия Android достъпът до клипборда става все по-труден в зависимост от версията: В Android 10 и по-нови версии, фоновите приложения вече не могат толкова лесно да четат съдържанието на клипборда на приложението на преден план.Това значително намалява тихите атаки от процеси, които не виждате на екрана.
Реален случай: приложения, които „надничат“ в клипборда
Примерът с TikTok в iOS 14 беше добре известен: системните известия ясно показваха, че Приложението постоянно проверяваше клипбордаУж за откриване на спам или подозрително поведение, но на практика събира много повече информация, отколкото един типичен потребител би си представил. След противоречията, компанията трябваше бързо да промени тази практика.
Същото се случи и с други приложения като AccuWeather, големи медийни издания като The New York Times или Wall Street Journal, или гиганти в електронната търговия като AliExpress, които Хванаха ги да достъпват клипборда без предупреждение.В някои случаи имаше някакво техническо оправдание, в други по-скоро се касаеше за очевидно нарушение на доверието.
Моделът е ясен: без системни известия потребителят не знае нищо; с известия, Приложенията са подложени на натиск да оправдаят този достъп или просто да спрат да го правят. За да се избегне публичен скандал. Прозрачността, дори и да е само показване на малък знак, действа като много ефективен възпиращ фактор.
Как да разбера дали дадено приложение има достъп до клипборда ви на Android?
В Android ситуацията до голяма степен зависи от версията на вашата система. Въпреки това има няколко нива на защита и регистриране, които си струва да се разберат, за да се знае кой има достъп до какво.
Известия за достъп до клипборда на Android 12 или по-нова версия
Започвайки с Android 12, има опция за поверителност, която прави системата Показване на малко известие, когато приложение осъществява достъп до клипборда виПодобно е на известието, което се появява, когато приложение използва вашата камера или микрофон, само че в този случай се отнася до съдържанието, което сте копирали.
Обичайният маршрут (може да варира леко в зависимост от марката) е нещо подобно: Настройки > Поверителност > Показване на достъп до клипбордаАко сте го активирали, всеки път, когато дадено приложение чете клипборда, ще виждате съобщение за няколко секунди в горната част на екрана, показващо кое приложение го е прочело.
Има важни нюанси: например, клавиатурата Gboard Обикновено е освободен от тези предупрежденияТова е така, защото самата система трябва да чете клипборда за основни функции. И ако тези известия ви притесняват, можете да ги деактивирате от същото меню, въпреки че ще загубите този слой прозрачност.
Ограничения и рискове на по-старите версии на Android
В Android 9 и по-стари версии сценарият беше значително по-опасен: Всяко приложение, работещо във фонов режим, може да чете клипборда, свързан с приложението на преден план.Без ограничение и без дори да забележите. Ако все още използвате по-стара версия, сте в много по-рискова ситуация.
Android 10 въвежда ключова промяна: ограничава достъпа до клипборда от фонови процеси, което... Това предотвратява приложение, което не използвате активно, да шпионира това, което копирате в друго приложение.А в Android 13 е добавено автоматично изтриване на съдържанието на клипборда след определено време, което намалява прозореца, в който данните ви са изложени.
За разработчиците Android предлага и специален воден знак, който могат да прилагат към копирано съдържание, като например ClipDescription.EXTRA_IS_SENSITIVE или android.content.extra.IS_SENSITIVEТази функция позволява на системата и клавиатурата да скрият визуализацията на текста в клипборда. Ако дадено приложение обработва силно чувствителни данни (банкова информация, 2FA кодове, пароли и др.), то трябва да маркира това съдържание по този начин, за да предотврати лесното му преглеждане от други лица.
Как да се възползвате от историята на разрешенията в Android?
Въпреки че историята на разрешенията за Android се фокусира предимно върху камерата, микрофона, местоположението и подобни разрешения, тя служи като общ индикатор за поведението на потребителя. В много от последните версии на Android можете да отидете на Настройки > Сигурност и поверителност > Поверителност > Преглед на всички разрешения за да прегледате кои приложения са получили достъп до всяко разрешение и кога.
В този панел ще видите два основни изгледа: списък, сортиран по тип разрешение (камера, микрофон, контакти и т.н.) и друг по приложение, където можете да прегледате какво е използвало всяко приложение.Въпреки че клипбордът не се управлява като класическо разрешение, ако видите, че дадено приложение вече се държи подозрително с други разрешения, е логично да се усъмните и в това, което може да прави с копираните и поставените данни.
Ако забележите странен достъп (например игра, изискваща достъп до камерата или контактите без видима причина, или приложение за фенерче с абсурден списък с разрешения), разумното нещо, което трябва да направите, е Отменете тези, които нямат смисъл, и дори помислете за деинсталиране на приложениетоКолкото по-малко разрешения има едно приложение, толкова по-малко вреда може да причини, ако се държи неправилно.
Монитор за разрешения и допълнителни слоеве в някои устройства с Android
Някои производители добавят свои собствени инструменти. Например, на някои телефони Samsung има „Монитор на разрешенията за приложения“, който ви предупреждава, когато фоново приложение се опитва да използва определено разрешениев допълнение към записването на цялата тази активност в история с възможност за търсене.
Това се случи с журналист, който видя приложение на авиокомпания да се опитва да получи достъп до камерата на телефона му, въпреки че разрешението беше деактивирано. Мониторът задейства предупреждение, което му позволява... откриването, че приложението се опитва да отвори камерата в неразумно време, което предизвика разгорещен дебат в социалните мрежи.
В тези случаи системата обикновено предупреждава за опита, но ако разрешението бъде отказано, Приложението всъщност не използва камерата или въпросния сензорВъпреки това, самият опит е предупредителен знак, който не бива да се пренебрегва.
Как да разбера дали дадено приложение има достъп до клипборда в iOS
В екосистемата на Apple поведението на клипборда също се е променило много през последните години, като са предприети мерки, насочени към... Знайте кои приложения преглеждат копираните ви данни и как да намалите автоматичния достъп.
Известия за достъп до клипборда в iOS 14 и по-нови версии
От iOS 14 насам, всеки път, когато дадено приложение чете клипборда, в горната част на екрана се появява известие, показващо кое приложение е направило това. Това означава, че Ако видите това съобщение, без да сте поставили нищо ръчно, приложението е „погледнало“ самостоятелно клипборда..
Преди тази функция, автоматичният достъп беше много често срещан: Много приложения провериха какво сте копирали, просто като ги отвориха или промениха екрана.Независимо дали за удобство или за да захранват системите си за проследяване, всяко от тези показания сега оставя следа под формата на визуален сигнал, принуждавайки много разработчици да преосмислят поведението си.
Този механизъм не прави разлика между законна и злоупотреба с употреба, но ви дава минималната информация, необходима, за да решите дали имате доверие на това приложение. Ако видите, че дадено приложение почти не използвате Постоянно чете клипборда; имате основателна причина да отмените разрешенията или да го деинсталирате напълно..
Сигурно поставяне и промени в iOS 15
С iOS 15, Apple представи подобрение, наречено Secure Paste. Тази функция позволява на разработчиците да... Внедрете система, при която, въпреки че приложението трябва да има достъп до клипборда, то всъщност не „вижда“ съдържанието, докато потребителят не го потвърди. Когато е залепен. Това е един вид междинен слой, който намалява безшумния достъп.
Проблемът е, че не всички приложения са се адаптирали към тази система. Ако продължавате да виждате известието за достъп до клипборда, когато използвате конкретно приложениеТова обикновено показва, че разработчиците му все още не са интегрирали Secure Paste и достъпват съдържанието по традиционния начин.
Засега Apple не предлага начин напълно да се предотврати четенето на клипборда от дадено приложение, ако решите да го използвате, освен информацията, предоставена от известията, и вашето собствено решение да го направите. Спрете да използвате или деинсталирайте всички приложения, чието поведение не ви харесва.Ако искате да повлияете на тези видове функции, можете да изпращате предложения директно до Apple чрез техните формуляри за обратна връзка за продуктите.
Индикатори за камера и микрофон като допълнителна индикация
Въпреки че първоначалният въпрос се върти около клипборда, в iOS е много полезно да се знае за физическите индикатори за достъп до микрофон и камера: Оранжева точка се появява, когато използвате микрофона, и зелена точка, когато използвате камерата., в горната част на екрана.
Тези точки действат като незабавен „индикатор“. Ако видите, че Зелената или оранжевата точка се активира, когато не записвате, не провеждате разговор или не правите снимка.Това поражда съмнение относно приложението, което използвате в момента. То е прост, но невероятно ефективен инструмент за откриване на необичаен достъп.
В Android можете да направите нещо подобно с приложения като Access Dots, които Те показват тези LED индикатори на екрана, за да ви предупреждават, когато дадено приложение използва камерата или микрофонаНе е вградено като в iOS, но добавя визуален слой за контрол, който е много полезен за откриване на странно поведение.
Какво всъщност може да види едно приложение от клипборда и защо това е риск?
Приложение, което осъществява достъп до клипборда, не вижда просто „безсмислено парче текст“. В зависимост от това какво копирате, Те могат да имат достъп до много лични URL адреси, снимки, които прехвърляте от една социална мрежа в друга, телефонни номера, физически адреси или дори пълни банкови данни..
За един нападател това е чисто злато: комбинирането на копираното с навиците ви за сърфиране и други данни, които приложението вече има, го прави много лесно. да създадете много подробен профил за това кой сте, какво правите и с кого разговарятеВъв финансови или автентични приложения рискът се увеличава още повече, тъй като могат да бъдат заловени кодове за потвърждение или номера на карти.
Ето защо OWASP, стандартът за сигурност на приложенията, включва управление на клипборда в Категория на качество на кода MASVS-CODEЛошата имплементация на клипборда в приложение може да отвори вратата за други приложения или нападатели да получат изключително чувствителни данни почти без усилие.
Какво правят експерти и инструменти като AppCensus?
За да се знае точно какво прави едно приложение вътрешно, не е достатъчно да се видят какви разрешения изисква то в хранилището. Искането на разрешение е едно, но как и кога то се използва е съвсем друго.Повечето потребители нямат начин да видят тази подробност от мобилния си телефон.
Изследователи от институции като ICSI са създали проекти като AppCensus, където Те модифицират версия на Android, за да инструментализират системата и да записват точно какви данни приложенията докосват и кога го правят.Това не е нещо, което може да се инсталира от Google Play като нормално приложение, защото изисква дълбоки промени в операционната система.
Чрез този анализ те са открили хиляди приложения (повече от 12 000 в едно от техните разследвания), които Те продължиха да събират лична информация, дори след като потребителят изрично им беше отказал разрешение.Броят на потенциално засегнатите потребители е стотици милиони, което дава представа за мащаба на проблема.
За средностатистическия потребител инструменти като AppCensus служат предимно като източник на информация: Можете да проверите какво всъщност прави дадено популярно приложение с вашите данни, преди да решите да го инсталирате или да продължите да го използвате.Не е перфектно, но е по-добре, отколкото да разчитате единствено на описанието на магазина или на безкрайна, неясна политика за поверителност.
Как да прегледате и контролирате разрешенията за приложението си?
Въпреки че клипбордът не предлага толкова директен контрол, колкото камерата или микрофона, значителна част от вашата сигурност зависи от него. Управлявайте разумно останалите разрешения на всяко приложение., както на Android, така и на iOS.
В Android можете да видите списък с приложения и техните разрешения в настройките за поверителност и сигурност: камера, микрофон, местоположение, контакти, място за съхранение и др.Някои слоеве дори ви позволяват да изберете дали дадено приложение може да използва разрешение винаги, само докато го използвате или само веднъж.
В iOS се случва нещо подобно: в секцията за поверителност в настройките можете да преминавате по категории (камера, микрофон, снимки, местоположение...), за да Вижте кои приложения имат разрешения и ги деактивирайте с едно докосване.Имайте предвид, че някои функции ще спрат да работят, ако премахнете ключови разрешения, но почти винаги можете да ги предоставите отново, когато наистина имате нужда от тях.
Практични съвети за защита като потребител
Освен системните предупреждения и разширените функции, най-добрата защита си остава здравият разум. Преди да инсталирате приложение, Разгледайте внимателно разрешенията, които изисква, и се запитайте дали наистина се нуждае от тях, за да изпълни обещаното.Фенерче, което иска достъп до вашите контакти, точното ви местоположение и вашите снимки, е, меко казано, подозрително.
Ако имате няколко приложения, които правят едно и също нещо, винаги избирайте това, което Искайте по-малко разрешителни, отколкото смятате за ненужно или прекомерно.Често има също толкова добри алтернативи, които уважават поверителността ви повече, просто защото техните разработчици са решили да не събират данни за реклама или агресивни анализи.
В Android, ако не можете да актуализирате до по-нова версия, е много разумно да използвате приложение, което Автоматично изчистване на съдържанието на клипборда след известно времеОт Android 13 и по-нови версии системата прави това автоматично, но не и в по-ранните версии. Това намалява уязвимостта на злонамерени приложения, които може да се опитат да прочетат това, което копирате.
Заключителни съображения
И накрая, създайте си навика да не копирате и поставяте особено чувствителни данни, ако можете да го избегнете. Използвайте Мениджъри на пароли със сигурно автоматично попълване Вместо да копирате пароли ръчно, и ако трябва да копирате временен код, опитайте да го поставите и изтриете възможно най-скоро, за да не остане в клипборда по-дълго от необходимото.
В крайна сметка, клипбордът е невероятно удобен инструмент, но и малка златна мина за всяко приложение, което иска да знае повече за вас, отколкото би трябвало. Благодарение на най-новите версии на Android и iOS, вече имаме сигнали, история и допълнителни опции, които ни позволяват да открием кой вижда това, което копирате, и да го спрем. Въпреки това, остава изключително важно да преглеждате разрешенията критично, да ограничавате инсталирането до приложенията, от които наистина се нуждаете, и да бъдете предпазливи с това, което копирате и поставяте, защото е заложена значителна част от вашата ежедневна дигитална поверителност. Споделете това ръководство и повече потребители ще научат по темата.