Svi podaci koje ste izrezali i zalijepili koristeći iPhone ili iPad bivaju privremeno pohranjeni na te uređaje. Samo po sebi, to nije neobično jer ta značajka koristi takvu pohranu za normalno funkcioniranje.

Ali, jedan je razvojni programer otkrio kako toj memoriji mogu pristupiti sve aplikacije instalirane na neki od tih uređaja, uključujući i zlonamjerne. Drugim riječima, hakeri mogu doći do potencijalno osjetljivih podataka kao što su koordinate GPS-a, lozinke, tablice...

Njemački developer Tommy Mysk ne samo što je otkrio propust, već je izradio i aplikaciju KlipboardSpy (s pratećim widgetom za operativni sustav iOS KlipSpyWidget) kako bi dokazao da je to što tvrdi doista moguće.

Pritom se fokusirao na fotografije snimljene uređajem na koji je instalirao zlonamjerni softver, u kojima je moguće naći vrijeme snimanja i metapodatke vezane uz GPS koje je moguće upotrijebiti za određivanje lokacije korisnika.

Dovoljno je da korisnik u nekom trenutku kopira fotografiju iz nativne aplikacije Camera u privremenu memoriju kako bi haker mogao odrediti gdje se nalazi bez njegovog znanja i dozvole.

Apple: Nema tu ništa sporno

U Appleu način kako koriste copy/paste ne smatraju spornim jer ga se na sličan način koristi u većini operativnih sustava i aplikacija. Naime, iOS omogućava čitanje privremeno pohranjenih podataka samo kad su aplikacije aktivne i dok ih se koristi.

Ali, Mysk je to ograničenje zaobišao widgetom i uvelike proširio raspon dostupnih podataka. Apple već godinama upozoravaju na probleme i rizike povezane s pohranom u privremenu memoriju.

Kao moguće rješenje Mysk predlaže postavljanje dozvola uz podatke u privremenoj memoriji, slično kako je to riješeno s aplikacijama Cntacts i Location Services za iPhone, dok bi GPS podatke iz fotografija operativni sustav trebao automatski brisati nakon kopiranja.

Hakerski napadi koji zlorabe propuste vezane uz privremenu pohranu godinama muče korisnike operativnih sustava Windows i Android. Tijekom 2018. godine zlonamjerni softver koji je ciljao kriptovalute zarazio je 2,3 milijuna adresa bitkoina. Po pokretanju transakcije softver bi u memoriji promijenio podatke o korisničkom računu i novac preusmjerio u napadačev digitalni novčanik, piše Threat Post.