Kopiowanie i wklejanie w telefonie jest tak automatyczne, że prawie o tym nie myślimy. Ale za każdym razem, gdy to robisz, informacje przechodzą przez wrażliwe miejsce: schowek. A stamtąd… Inne aplikacje mogą nawet „podglądać” to, co skopiowałeś.Zarówno Android, jak i iOS wprowadzają alerty i narzędzia, które powiadamiają o wystąpieniu takiego zdarzenia — od prostych tekstów po hasła, kody 2FA czy dane bankowe.
W najnowszych wersjach systemów operacyjnych urządzeń mobilnych do tego celu dodano wskaźniki, historię dostępu i funkcje prywatności: aby dowiedzieć się, czy aplikacja uzyskuje dostęp do schowka, aparatu, mikrofonu lub innych poufnych uprawnień bez Twojej zgodyPrzyjrzyjmy się bliżej, jak to wszystko działa, jakie są tego ograniczenia i co możesz zrobić, aby lepiej się chronić.
Dlaczego schowek jest tak wrażliwy na Twoją prywatność?
Gdy kopiujesz coś na swoim telefonie, niezależnie od tego, czy jest to tekst, zdjęcie czy numer karty, treść ta jest zapisywana w obszarze współdzielonym systemu zwanym schowkiem, a Każda aplikacja z dostępem do schowka może odczytać jego zawartość, dopóki się ona tam znajduje.Nie musisz udzielać mu specjalnych uprawnień, tak jak ma to miejsce w przypadku aparatu czy lokalizacji, co sprawia, że jest to bardzo atrakcyjna opcja w przypadku dziwacznych lub słabo zaprojektowanych aplikacji.
Od lat na Androidzie i iOS Aplikacje mogły „zaglądać” do schowka bez wiedzy użytkownika.Nawet gdy je otwierałeś lub używałeś ich do czegoś innego. Doprowadziło to do głośnych przypadków, gdy odkryto, że aplikacje wszelkiego rodzaju (serwisy społecznościowe, aplikacje pogodowe, gazety, sklepy internetowe…) czytały zawartość schowka znacznie częściej niż było to konieczne.
Problem nie jest tu tylko natury technicznej, ale także tego, jakie dane kopiujesz. To bardzo częste zjawisko u osób, Skopiuj hasła, kody weryfikacyjne SMS, numery kart lub pełne adresyJeśli nieuczciwa aplikacja uzyska tam dostęp, będzie miała niezwykle cenne informacje, które pozwolą jej śledzić Twoje dane lub, w najgorszym przypadku, dopuścić się oszustwa.
Co zmieniło się w systemach iOS i Android w zakresie dostępu do schowka?
Apple jako pierwsze wykonało odważny ruch, wprowadzając iOS 14: Za każdym razem, gdy aplikacja uzyskuje dostęp do schowka, system wyświetla powiadomienie na ekranie.Ta prosta wiadomość ujawniła, że aplikacje takie jak TikTok, duże media, a nawet niektóre sklepy internetowe czytały zawartość schowka z satysfakcją, której nawet nie próbowały ukryć.
Widząc wpływ tego środka, Google postanowił pójść w tym samym kierunku. Od Androida 12 dostępne jest ustawienie prywatności, które po włączeniu sprawia, że Twój telefon powiadomi Cię, gdy aplikacja uzyska dostęp do tekstu, obrazów lub innej treści skopiowanej do schowka.Pomysł jest ten sam: użytkownik może zobaczyć, które aplikacje wtykają nos w nie swoje sprawy.
Co więcej, w samym systemie Android dostęp do schowka stał się w zależności od wersji coraz trudniejszy: W systemie Android 10 i nowszych aplikacjach działających w tle nie można już tak łatwo odczytać zawartości schowka aplikacji działających na pierwszym planie.Dzięki temu znacznie ograniczysz liczbę cichych ataków z procesów, których nie widzisz na ekranie.
Prawdziwy przypadek: aplikacje „szperające” w schowku
Przykład TikToka na iOS 14 był dobrze znany: powiadomienia systemowe jasno dawały do zrozumienia, że Aplikacja stale sprawdzała schowekMiało to na celu wykrywanie spamu i podejrzanych zachowań, ale w praktyce gromadziło znacznie więcej informacji, niż przeciętny użytkownik mógłby przypuszczać. Po kontrowersjach firma musiała szybko zmienić tę praktykę.
To samo stało się z innymi aplikacjami, takimi jak AccuWeather, dużymi mediami, takimi jak The New York Times czy Wall Street Journal, czy gigantami e-commerce, takimi jak AliExpress, które Zostali przyłapani na próbie dostępu do schowka bez ostrzeżenia.W niektórych przypadkach istniało pewne uzasadnienie techniczne, w innych było to raczej oczywiste naruszenie zaufania.
Schemat jest jasny: bez powiadomień systemowych użytkownik nic nie wie; z powiadomieniami Na aplikacje wywierana jest presja, aby uzasadniły ten dostęp lub po prostu zaprzestały go udostępniać. Aby uniknąć publicznego skandalu. Przejrzystość, nawet jeśli ogranicza się do wywieszenia małego transparentu, działa jak bardzo skuteczny środek odstraszający.
Jak sprawdzić, czy aplikacja ma dostęp do schowka w systemie Android?
W systemie Android sytuacja w dużej mierze zależy od wersji systemu. Mimo to istnieje kilka poziomów zabezpieczeń i rejestrowania, które warto poznać, aby wiedzieć, kto ma do czego dostęp.
Powiadomienia o dostępie do schowka w systemie Android 12 lub nowszym
Od wersji Android 12 dostępna jest opcja prywatności, która sprawia, że system Wyświetl małe powiadomienie, gdy aplikacja uzyska dostęp do schowkaJest to podobne do powiadomienia, które pojawia się, gdy aplikacja używa aparatu lub mikrofonu, tyle że w tym przypadku dotyczy ono skopiowanej przez Ciebie zawartości.
Typowa trasa (może się ona nieznacznie różnić w zależności od marki) wygląda mniej więcej tak: Ustawienia > Prywatność > Pokaż dostęp do schowkaJeżeli ta opcja jest włączona, za każdym razem, gdy aplikacja odczyta zawartość schowka, na górze ekranu przez kilka sekund będzie wyświetlany komunikat informujący, która aplikacja odczytała daną informację.
Istnieją ważne niuanse, na przykład: klawiatura Gboard Zwykle jest zwolniony z tych ostrzeżeńDzieje się tak, ponieważ to sam system i musi odczytywać zawartość schowka, aby korzystać z podstawowych funkcji. Jeśli te powiadomienia Cię denerwują, możesz je wyłączyć w tym samym menu, ale stracisz wtedy tę warstwę przejrzystości.
Ograniczenia i zagrożenia związane ze starszymi wersjami Androida
W systemie Android 9 i starszych scenariusz był znacznie bardziej niebezpieczny: Każda aplikacja działająca w tle może odczytać zawartość schowka powiązanego z aplikacją działającą na pierwszym planie.Bez ograniczeń i bez Twojej wiedzy. Jeśli nadal korzystasz ze starszej wersji, jesteś w znacznie bardziej ryzykownej sytuacji.
Android 10 wprowadza kluczową zmianę: ogranicza dostęp do schowka z procesów działających w tle, co Zapobiega szpiegowaniu przez aplikację, z której aktywnie nie korzystasz, tego, co kopiujesz do innej aplikacji.W systemie Android 13 dodano funkcję automatycznego usuwania zawartości schowka po upływie określonego czasu, co zmniejsza czas, w którym Twoje dane są narażone.
Dla programistów Android oferuje również specjalny znak wodny, który mogą zastosować do skopiowanej treści, takiej jak ClipDescription.EXTRA_IS_SENSITIVE lub android.content.extra.IS_SENSITIVETa funkcja umożliwia systemowi i klawiaturze ukrycie podglądu tekstu w schowku. Jeśli aplikacja przetwarza dane o wysokim stopniu poufności (informacje bankowe, kody 2FA, hasła itp.), powinna oznaczyć te treści w ten sposób, aby uniemożliwić innym osobom łatwy dostęp do nich.
Jak wykorzystać historię uprawnień w systemie Android?
Chociaż historia uprawnień Androida koncentruje się głównie na aparacie, mikrofonie, lokalizacji i podobnych uprawnieniach, służy ona jako ogólny wskaźnik zachowań użytkownika. W wielu nowszych skórkach Androida możesz przejść do Ustawienia > Bezpieczeństwo i prywatność > Prywatność > Wyświetl wszystkie uprawnienia aby sprawdzić, które aplikacje uzyskały dostęp do poszczególnych uprawnień i kiedy.
W tym panelu zobaczysz dwa główne widoki: listę posortowaną według typu uprawnień (kamera, mikrofon, kontakty itp.) i inny według aplikacji, gdzie możesz sprawdzić, z czego skorzystała każda aplikacja.Mimo że schowek nie jest zarządzany jak klasyczne uprawnienie, jeśli zauważysz, że aplikacja zachowuje się podejrzanie w przypadku innych uprawnień, warto również podejrzewać, co robi z kopiowanymi i wklejanymi przez Ciebie elementami.
Jeśli wykryjesz dziwny dostęp (na przykład grę żądającą dostępu do aparatu lub kontaktów bez wyraźnego powodu lub aplikację latarki z absurdalną listą uprawnień), rozsądnie będzie Odwołaj te, które nie mają sensu, a nawet rozważ odinstalowanie aplikacjiIm mniej uprawnień ma aplikacja, tym mniejsze szkody może wyrządzić, jeśli zacznie się źle zachowywać.
Monitor uprawnień i dodatkowe warstwy w niektórych urządzeniach z systemem Android
Niektórzy producenci dodają własne narzędzia. Na przykład w niektórych telefonach Samsunga jest „Monitor uprawnień aplikacji” ostrzegający, gdy aplikacja działająca w tle próbuje użyć określonego uprawnieniaoprócz zapisywania wszystkich działań w historii, którą można przeszukiwać.
Tak właśnie stało się z dziennikarzem, który zobaczył, że aplikacja linii lotniczych próbuje uzyskać dostęp do aparatu w jego telefonie, mimo że uprawnienia były wyłączone. Monitor uruchomił alert, co pozwoliło mu… odkrycie, że aplikacja próbowała otworzyć kamerę w nieodpowiednim momencie, wywołując ożywioną debatę w mediach społecznościowych.
W takich przypadkach system zazwyczaj ostrzega przed próbą, ale jeśli pozwolenie zostanie odrzucone, Aplikacja w rzeczywistości nie korzysta z aparatu ani czujnika, o których mowaMimo wszystko sama próba jest sygnałem ostrzegawczym, którego nie należy ignorować.
Jak sprawdzić, czy aplikacja uzyskuje dostęp do schowka w systemie iOS
W ekosystemie Apple w ostatnich latach bardzo zmieniło się również zachowanie schowka, wprowadzono środki mające na celu Dowiedz się, które aplikacje przeglądają skopiowane dane i jak ograniczyć automatyczny dostęp.
Powiadomienia o dostępie do schowka w systemie iOS 14 i nowszych
Od iOS 14, za każdym razem, gdy aplikacja odczytuje zawartość schowka, na górze ekranu pojawia się powiadomienie informujące, która aplikacja to zrobiła. Oznacza to, że Jeśli zobaczysz ten komunikat, mimo że nie wkleiłeś niczego ręcznie, oznacza to, że aplikacja samodzielnie „przejrzała” zawartość schowka..
Przed wprowadzeniem tej funkcji powszechny był automatyczny dostęp: Wiele aplikacji sprawdzało skopiowane dane, po prostu je otwierając lub zmieniając ekrany.Niezależnie od tego, czy dzieje się to ze względu na wygodę, czy też w celu zasilania systemów śledzenia, każde z tych odczytów pozostawia teraz ślad w postaci wizualnego alertu, zmuszając wielu deweloperów do ponownego przemyślenia swojego postępowania.
Ten mechanizm nie rozróżnia legalnego i nadużycia, ale dostarcza Ci minimum informacji niezbędnych do podjęcia decyzji, czy ufasz danej aplikacji. Jeśli zauważysz, że aplikacja, z której rzadko korzystasz, Ciągle czyta zawartość schowka; masz dobry powód, aby cofnąć uprawnienia lub całkowicie odinstalować aplikację..
Bezpieczne wklejanie i zmiany w iOS 15
W systemie iOS 15 firma Apple wprowadziła ulepszenie o nazwie Bezpieczne Wklejanie. Funkcja ta pozwala programistom... Wdrożyć system, w którym aplikacja, mimo że musi uzyskać dostęp do schowka, nie „widzi” jego zawartości, dopóki użytkownik tego nie potwierdzi. Po przyklejeniu. To rodzaj warstwy pośredniej, która ogranicza cichy dostęp.
Problem polega na tym, że nie wszystkie aplikacje dostosowały się do tego systemu. Jeśli podczas korzystania z określonej aplikacji nadal widzisz powiadomienie o dostępie do schowkaZazwyczaj oznacza to, że twórcy narzędzia nie zintegrowali jeszcze funkcji Bezpieczne wklejanie i uzyskują dostęp do treści w tradycyjny sposób.
Na razie firma Apple nie oferuje sposobu, aby całkowicie uniemożliwić aplikacji odczytywanie zawartości schowka, jeśli zdecydujesz się z niej skorzystać, poza informacjami dostarczanymi przez powiadomienia i Twoją decyzją. Przestań używać lub odinstaluj aplikacje, których działanie Ci się nie podoba.Jeśli chcesz mieć wpływ na tego typu funkcje, możesz przesyłać sugestie bezpośrednio do Apple za pośrednictwem formularzy opinii o produkcie.
Wskaźniki kamery i mikrofonu jako dodatkowa wskazówka
Chociaż pierwotne pytanie dotyczyło schowka, w systemie iOS bardzo przydatna jest znajomość wskaźników fizycznych dostępu do mikrofonu i kamery: Podczas korzystania z mikrofonu wyświetlana jest pomarańczowa kropka, a podczas korzystania z kamery — zielona.u góry ekranu.
Punkty te działają jak natychmiastowy „wskaźnik”. Jeśli to widzisz, Zielona lub pomarańczowa kropka aktywuje się, gdy nie nagrywasz, nie prowadzisz rozmowy ani nie robisz zdjęciaTo wzbudza podejrzenia co do aplikacji, z której aktualnie korzystasz. To proste, ale niezwykle skuteczne narzędzie do wykrywania nietypowego dostępu.
Na Androidzie możesz zrobić coś podobnego za pomocą aplikacji takich jak Access Dots, które Wyświetlają one na ekranie wskaźniki LED, które ostrzegają Cię, gdy aplikacja korzysta z kamery lub mikrofonuNie jest to funkcja natywna, jak w systemie iOS, ale dodaje wizualną warstwę kontroli, która jest bardzo przydatna przy wykrywaniu dziwnego zachowania.
Co aplikacja może faktycznie zobaczyć w schowku i dlaczego jest to ryzykowne?
Aplikacja uzyskująca dostęp do schowka nie widzi po prostu „fragmentu tekstu bez znaczenia”. W zależności od tego, co kopiujesz, Mogą mieć dostęp do bardzo osobistych adresów URL, zdjęć przesyłanych z jednej sieci społecznościowej do drugiej, numerów telefonów, adresów fizycznych, a nawet kompletnych danych bankowych..
Dla atakującego to prawdziwe złoto: połączenie skopiowanych danych ze swoimi nawykami przeglądania Internetu i innymi danymi, które aplikacja już posiada, znacznie ułatwia zadanie. aby stworzyć bardzo szczegółowy profil tego, kim jesteś, co robisz i z kim rozmawiaszW zastosowaniach finansowych lub uwierzytelniających ryzyko jest jeszcze większe, ponieważ istnieje ryzyko przechwycenia kodów weryfikacyjnych lub numerów kart.
Dlatego OWASP, standard bezpieczeństwa aplikacji, obejmuje zarządzanie schowkiem w ramach Kategoria jakości kodu MASVS-CODENiewłaściwe wdrożenie schowka w aplikacji może otworzyć drzwi innym aplikacjom lub atakującym i umożliwić im uzyskanie niezwykle poufnych danych niemal bez wysiłku.
Co robią eksperci i narzędzia takie jak AppCensus?
Aby dowiedzieć się, co dokładnie robi aplikacja wewnętrznie, nie wystarczy zobaczyć, jakich uprawnień żąda w sklepie. Ubieganie się o pozwolenie to jedno, ale sposób i czas jego wykorzystania to zupełnie inna sprawa.Większość użytkowników nie ma możliwości zobaczenia tych szczegółów na swoim telefonie komórkowym.
Naukowcy z instytucji takich jak ICSI stworzyli projekty takie jak AppCensus, w których Modyfikują wersję Androida, aby wyposażyć system w narzędzia rejestrujące dokładnie, jakich danych używają aplikacje i kiedy to robią.Nie jest to aplikacja, którą można zainstalować ze sklepu Google Play jak zwykłą aplikację, ponieważ wymaga ona wprowadzenia głębokich zmian w systemie operacyjnym.
Dzięki tej analizie odkryli tysiące aplikacji (ponad 12 000 w jednym z ich badań), które Kontynuowali gromadzenie danych osobowych, nawet po tym, jak użytkownik wyraźnie odmówił im na to zgody.Liczba potencjalnie dotkniętych użytkowników liczona jest w setkach milionów, co daje pojęcie o skali problemu.
Dla przeciętnego użytkownika narzędzia takie jak AppCensus stanowią przede wszystkim źródło informacji: Możesz sprawdzić, co popularna aplikacja robi z Twoimi danymi, zanim zdecydujesz się ją zainstalować lub kontynuować korzystanie z niej.Nie jest to rozwiązanie idealne, ale lepsze niż poleganie wyłącznie na opisie sklepu lub niekończącej się, niejasnej polityce prywatności.
Jak przeglądać i kontrolować uprawnienia aplikacji?
Mimo że schowek nie zapewnia tak bezpośredniej kontroli jak kamera czy mikrofon, to i tak w dużej mierze od niego zależy bezpieczeństwo. Zarządzaj rozsądnie pozostałymi uprawnieniami każdej aplikacji., zarówno na Androida, jak i iOS.
W systemie Android listę aplikacji i ich uprawnień można wyświetlić w ustawieniach prywatności i bezpieczeństwa: kamera, mikrofon, lokalizacja, kontakty, pamięć itp.Niektóre warstwy pozwalają nawet wybrać, czy aplikacja może używać danego uprawnienia zawsze, tylko wtedy, gdy z niej korzystasz, czy tylko raz.
W systemie iOS dzieje się coś podobnego: w sekcji prywatności ustawień możesz przejść kategoria po kategorii (aparat, mikrofon, zdjęcia, lokalizacja…) Zobacz, które aplikacje mają uprawnienia i wyłącz je jednym dotknięciem.Pamiętaj, że jeśli usuniesz kluczowe uprawnienia, niektóre funkcje przestaną działać, ale prawie zawsze możesz je przywrócić, gdy naprawdę ich potrzebujesz.
Praktyczne wskazówki, jak chronić siebie jako użytkownika
Poza alertami systemowymi i funkcjami zaawansowanymi, najlepszą obroną pozostaje zdrowy rozsądek. Przed zainstalowaniem aplikacji, Przyjrzyj się dokładnie uprawnieniom, o które prosi i zastanów się, czy są one rzeczywiście potrzebne do wykonania obietnic.Latarka, która chce uzyskać dostęp do Twoich kontaktów, Twojej dokładnej lokalizacji i zdjęć, jest, delikatnie mówiąc, podejrzana.
Jeśli masz kilka aplikacji, które wykonują to samo, zawsze wybieraj tę, która Złóż wniosek o mniejszą liczbę pozwoleń, niż uważasz za zbędne lub nadmierne.Często istnieją równie dobre alternatywy, które po prostu lepiej szanują Twoją prywatność, ponieważ ich twórcy zdecydowali się nie zbierać danych na potrzeby reklam lub agresywnej analizy.
Jeśli na Androidzie nie możesz zaktualizować go do najnowszej wersji, bardzo sensowne jest skorzystanie z aplikacji, która Automatyczne czyszczenie zawartości schowka po chwiliOd wersji Android 13 i nowszych system robi to automatycznie, ale we wcześniejszych wersjach tak nie było. Zmniejsza to podatność na ataki złośliwych aplikacji, które mogłyby próbować odczytać skopiowane dane.
Rozważania końcowe
Na koniec, jeśli to możliwe, wyrób sobie nawyk unikania kopiowania i wklejania szczególnie wrażliwych danych. Menedżerowie haseł z bezpiecznym automatycznym wypełnianiem Zamiast kopiować hasła ręcznie, jeśli musisz skopiować kod tymczasowy, spróbuj go wkleić i usunąć tak szybko, jak to możliwe, aby nie pozostawał w schowku dłużej, niż to konieczne.
Schowek to niezwykle wygodne narzędzie, ale także mała kopalnia złota dla każdej aplikacji, która chce wiedzieć o Tobie więcej, niż powinna. Dzięki najnowszym wersjom Androida i iOS mamy teraz alerty, historie i dodatkowe opcje, które pozwalają nam wykryć, kto przegląda kopiowane przez Ciebie treści i zablokować je. Nadal jednak kluczowe jest krytyczne spojrzenie na uprawnienia, ograniczenie instalacji do aplikacji, których naprawdę potrzebujesz, i ostrożność w kopiowaniu i wklejaniu, ponieważ na szali leży znaczna część Twojej codziennej prywatności cyfrowej. Udostępnij ten przewodnik, a więcej użytkowników dowie się o tym temacie.