نرمافزارهای iOS میتوانند کلید خصوصی بیت کوین شما را کپی کنند!
برخی از نرمافزارهای مطرح در سیستمعامل iOS قادرند به اطلاعات کپیشده در حافظه گوشی (کلیپبورد) کاربران خود دسترسی پیدا کنند. بنابراین، اگر کاربران در آیفون یا آیپد خود کلید خصوصی یا عبارت بازیابی (۱۲ یا ۲۴ کلمه) کیف پول بیت کوین یا هر ارز دیجیتال دیگر را کپی کنند، خطر سرقت آنها وجود دارد و همانطور که احتمالاً میدانید با استفاده از کلید خصوصی یا کلمات بازیابی میتوان داراییها را منتقل کرد. مقالهای از وبسایت آیمور (imore) این موضوع عجیب در سیستمعامل iOS را بررسی کرده است که آن را در ادامه میخوانید.
اگر اخبار اپل را هرچند با کمترین علاقه پیگیری کنید، حتماً عبارت «جاسوسی از کلیپبورد» (Clipboard Snooping) در هفتههای اخیر به گوشتان خورده است. بعد از کنفرانس جهانی توسعهدهندگان اپل (WWDC) در سال ۲۰۲۰ که نسخه بتای iOS ۱۴ عرضه شد، گمانهزنیها در این مورد بیشتر شد. اما جاسوسی از کلیپبورد چیست؟ چرا قبلاً چیزی در این مورد نشنیده بودیم؟ آیا باید نگران باشیم؟
اولین بار در ماه مارس (اسفند ۹۸) بود که وبسایت میسک موضوعِ جاسوسی از کلیپبورد را مطرح کرد. در مقالهای که میسک منتشر کرد، توضیح داده شده بود که چگونه برنامههای محبوب در iOS ۱۳ بدون اطلاع و اجازه کاربران، اطلاعات مربوط به کلیپبورد آنها را میخوانند. نرمافزارهای مذکور تعدادی از رسانههای اجتماعی، بازیها و خبرگزاریها بودند که در بین آنها نامهای بزرگی مانند تیک تاک (TikTok)، نیویورک تایمز، ویبو (Weibo)، سیانبیسی (CNBC) و تعداد دیگری از نرمافزارها به چشم میخورد.
جاسوسی از کلیپبورد اپل چیست؟
طبق تحقیقاتی که نتایج آن اخیراً منتشر شده است، نرمافزارهایی هستند که میتوانند به اطلاعات کلیپبورد دسترسی پیدا کنند. وقتی شما در iOS چیزی را کپی و الصاق (Paste) میکنید، در بین این دو مرحله، محتوای کپیشده در کلیپبورد میماند. نرمافزارهایی که روی iOS و آیپد (iPadOS) نصب میشوند، دسترسی نامحدودی به محتوای کلیپبورد اصلی آیاواس دارند و موضوع نگرانکنندهتر این است که در سرویس کلیپبورد جهانی آیاواس (Universal Clipboard iOS) امکان الصاق محتوای کلیپبورد در دستگاههای مختلف وجود دارد.
بهمحضِ مطرح شدن این موضوع، زنگ خطرها به صدا درآمدند. با اینکه اطلاعات کلیپبورد معمولاً موضوعات بیضرر و سادهای مانند موردی برای اضافه کردن به لیست خرید یا بخشی از یک مقاله است، اما میتواند شامل اطلاعات مهمی مانند رمز عبور، کلید خصوصی ارزهای دیجیتال، آدرس، تاریخ تولد، اطلاعات حساب بانکی و حتی موارد مهم دیگری باشد.
با وجود نگرانیهای زیادی که در مورد ماهیت این موضوع وجود داشت، توجه زیادی به آن نشد و این مشکل در نسخههای بعدی iOS مورد بررسی قرار نگرفت.
این موضوع تا دو هفته قبل ادامه داشت تا اینکه در کنفرانس WWDC از iOS ۱۴ رونمایی شد که در آن یک ابزار جدید برای مقابله با جاسوسی از کلیپبورد استفاده شده است. طبق اطلاعیه اپل، هر بار که اطلاعات کلیپبورد توسط برنامهای خوانده شود، یک اعلان (Notification) به کاربر فرستاده میشود. کتی اسکینر (Katie Skinner)، مهندس نرمافزار در اپل، در مصاحبهای گفت این کار به این خاطر بود که کاربران متوجهِ آنچه که بر سر اطلاعاتشان میآید، باشند.
اتفاقات بزرگتر دقیقاً بعد از اطلاعیهی اپل شروع شد. کاربران بعد از نصب نسخهی بتا با حجم انبوهی از اعلانها در گوشی خود مواجه شدند. بلافاصله مشخص شد که این موضوع بسیار گستردهتر از چیزی بود که تصور میشد؛ هم از نظر تعداد نرمافزارهایی که در آن نقش داشتند و هم از نظر تعداد دفعاتی که این اتفاق رخ میداد.
این موضوع واکنشهای زیادی در پی داشت. جرمی بِرگ (Jeremy burge) که یک تاریخنویس ایموجی است و از او با عناوینی مانند «پادشاه ایموجی» یاد میشود، در توییتی از این باگ صحبت کرد و نوشت به نظر میرسد با هر بار ضربه زدن به صفحه گوشی، اطلاعات کلیپبورد در نرمافزار تیک تاک ذخیره میشود.
با بررسیهای بیشتر مشخص شد که تیک تاک بهازای هر دو یا سه ضربه، یک بار اطلاعات کلیپبورد را میخواند.
خیلی زود توییتر از اظهارات کاربرانی که ادعا میکردند اطلاعات کلیپبورد آنها توسط برخی از نرمافزارها خوانده میشود، پر شد. تیک تاک، فنتستیکال، ردیت و اخیراً لینکدین، ازجمله برنامههایی هستند که بسیاری از کاربران توییتر به آنها اشاره کردهاند.
چرا این اتفاق میافتد؟
چندین دلیل برای چرایی این کار توسط این نرمافزارها وجود دارد. همچنین میتوان از لحاظ فنی نیز کدها و رابط کاربری نرمافزارها را بررسی کرد که چرا توسعهدهندگان این نرمافزارها عمداً یا سهواً اطلاعات کلیپبورد کاربران را میخوانند. مشکلی که وجود دارد این است که جدا کردن برنامههایی که با دلیل منطقی این اطلاعات را میخوانند، از آنهایی که بهدلایل اشتباه یا بدون دلیل این کار را میکنند، سخت است. علاوه بر این، ممکن است برخی از نرمافزارها اجازه داشته باشند که در برخی از موارد این اطلاعات را بخوانند؛ اما نه همیشه. ممکن است چنین نرمافزارهایی در مواردی که مجاز به ذخیره اطلاعات نیستند، این کار را انجام داده و اطلاعات را در میان تعدادی از موارد مجاز پنهان کرده و ذخیره کنند.
برای مثال، تیک تاک میگوید که این ویژگی یک اقدام ضداسپم بوده است و برای جلوگیری از ایجاد اسپم در بخش نظرات طراحی شده است. در حال حاضر تیک تاک در آپدیت جدید این ویژگی را حذف کرده است؛ اما منتقدین به این نکته اشاره کردهاند که این موضوع بهعنوان یک ابتکار برای مقابل با اسپم، ایده بدی بوده است و بسیار عجیب است که شرکتی که میلیاردها دلار ارزش دارد، نتوانسته توسعهدهندهای را استخدام کند که مشکل اسپم را با روش درستتری حل کند.
لینکدین ادعا کرده است که این ویژگی بهخاطر یک باگ بوده است، اما با بررسی کد مشخص شده است که این ویژگی از سال ۲۰۱۴ در کد لینکدین وجود داشته است!
فهمیدن این موضوع که چه بر سر این اطلاعات میآید، سخت است. کارشناسان میسک معتقدند که برخی از این اطلاعات به کلی نادیده گرفته میشوند؛ اما ممکن است برخی از آنها با نیت نادرست در سرورها ذخیره شوند. هیچ روشی وجود ندارد تا بتوان با آن بررسی کرد که نرمافزارها با اطلاعات خواندهشده از کلیپبوردها چه میکنند؛ مگر پرسش مستقیم از توسعهدهندگان این نرمافزارها.
متأسفانه دلایل قانونی بسیاری برای دسترسی نرمافزارها به محتوای کلیپبورد وجود دارد؛ جستجوی شماره تلفن برای برنامه تماس تلفنی، جستجوی آدرس اینترنتی برای یک برنامه مرورگر وب و جستجوی شماره حساب بانکی توسط یک برنامه بانکی چند مورد از این موارد مجاز دسترسی است. قابلیت جدید دریافت اعلان در iOS ۱۴ تفکیکی بین این موارد و موارد غیرمجاز قائل نمیشود. پس کاربران چگونه باید به این اعلانها واکنش نشان دهند؟
چگونه با این مشکل مقابله کنیم؟
اپل ابزاری را در اختیار کاربران قرار داده است که با آن میتوانند مشخص کنند چه نرمافزارهایی نباید به محتوای کلیپبورد دسترسی داشته باشند. این یک ویژگی داخلی در iOS است که میتوان از آن در نرمافزارهای غیرمخرب استفاده کرد.
همانطور که اشاره شد، در هفتههای اخیر توجه بیشتری از سوی کاربران و توسعهدهندگان به این مشکل جلب شده است. پس اگر شما هم از نسخه بتای iOS ۱۴ استفاده میکنید یا قصد دارید در آینده نزدیک از نسخه نهایی آن استفاده کنید و متوجه شدید که برنامهای اطلاعات کلیپبورد شما را میخواند، این چند سؤال را از خود بپرسید:
- از چه نرمافزاری استفاده میکنم؟
- آیا اطلاعاتی که کپی کردهام، به کاری که در حال حاضر آن را انجام میدهم ربطی دارد؟
- آیا منطقی است که در این مورد خاص نرمافزار اطلاعات مرا بخواند؟
- آیا با خوانده شدن اطلاعاتم توسط این نرمافزار مشکلی ندارم؟
به کاربران بیت کوین و ارزهای دیجیتال که داراییهای خود را روی کیف پولهای iOS ذخیره میکنند، توصیه میکنیم از کپی کردن کلید خصوصی یا کلمات بازیابی خود خودداری کنند. همچنین میتوانید از برنامههای میانبری مانند «iOS Shortcut» استفاده کنید. این برنامه میتواند در هنگام باز شدن برنامهای که از قبل مشخص کردهاید، محتویات کلیپبورد را پاک کند؛ اما استفاده از آن اندکی پیچیده است.
شما فرض کن ادرس کیف پولت رو کپی کرده باشی که واسه کسی بخوای بفرستی ؛ بعد برنامه ی لینکدین که هویت کامل شما رو داره سریع این اطلاعات رو میفرسته که فلان ادرس ارز دیجیتال مربوط به فلانی هست
فاجعه است این موضوع
#تحریم_لینکدین
#تحریم_تیک_تاک