Копирование и вставка на телефоне настолько автоматизированы, что мы почти не задумываемся об этом. Но каждый раз, когда вы это делаете, информация проходит через конфиденциальное место: буфер обмена. И оттуда... Другие приложения могут даже "подсматривать" за скопированными вами данными.Начиная от простых текстовых сообщений и заканчивая паролями, кодами двухфакторной аутентификации или банковскими реквизитами, как Android, так и iOS внедряют оповещения и инструменты, которые сообщают вам о подобных ситуациях.
В последних версиях мобильных операционных систем для этой цели были добавлены индикаторы, история доступа и функции обеспечения конфиденциальности: Чтобы узнать, получает ли приложение доступ к буферу обмена, камере, микрофону или другим конфиденциальным данным без вашего разрешения.Давайте подробно рассмотрим, как всё это работает, каковы его ограничения и что вы можете сделать, чтобы лучше защитить себя.
Почему буфер обмена так чувствителен к вашей конфиденциальности?
Когда вы копируете что-либо на своем телефоне, будь то текст, фотография или номер карты, это содержимое сохраняется в общей области системы, называемой буфером обмена. Любое приложение, имеющее доступ к буферу обмена, может прочитать это содержимое, пока оно там находится.Вам не нужно предоставлять ему специальные разрешения, как в случае с камерой или местоположением, что делает его очень привлекательным вариантом для необычных или плохо разработанных приложений.
На протяжении многих лет на Android и iOS, Приложения могли бы «просматривать» буфер обмена, не привлекая внимания пользователя.Даже когда вы их открывали или использовали для чего-то другого. Это привело к громким делам, когда выяснилось, что приложения всех видов (социальные сети, приложения погоды, газеты, интернет-магазины…) считывали содержимое буфера обмена гораздо чаще, чем это было необходимо.
Проблема здесь не только техническая, но и в том, какие именно данные вы копируете. Это очень распространенная ситуация для многих людей. Копирование паролей, SMS-кодов подтверждения, номеров карт или полных адресов.Если недобросовестное приложение получит к нему доступ, оно получит чрезвычайно ценную информацию для отслеживания ваших действий или, в худшем случае, для совершения мошенничества.
Какие изменения произошли в iOS и Android в отношении доступа к буферу обмена?
Компания Apple первой предприняла смелый шаг с iOS 14: Каждый раз, когда приложение обращается к буферу обмена, система отображает уведомление на экране.Это простое сообщение показало, что такие приложения, как TikTok, крупные СМИ и даже некоторые интернет-магазины с удовольствием читали содержимое буфера обмена, даже не пытаясь это скрыть.
Увидев влияние этой меры, Google решил двигаться в том же направлении. Начиная с Android 12, в систему включена настройка конфиденциальности, которая, если её включить, позволяет... Ваш телефон уведомит вас, когда приложение получит доступ к тексту, изображениям или другому контенту, скопированному вами в буфер обмена.Идея та же: пользователь может увидеть, какие приложения вмешиваются не по назначению.
Кроме того, в самой операционной системе Android доступ к буферу обмена становится все более затруднительным в зависимости от версии: В Android 10 и более поздних версиях фоновые приложения уже не могут так легко считывать содержимое буфера обмена приложения, работающего на переднем плане.Это значительно снижает вероятность скрытых атак со стороны процессов, которые не отображаются на экране.
Реальный случай: приложения, которые "шпионят" за содержимым буфера обмена.
Пример с TikTok на iOS 14 был хорошо известен: системные уведомления ясно давали понять, что Приложение постоянно проверяло буфер обмена.Предполагалось, что это устройство будет выявлять спам или подозрительное поведение, но на практике оно собирает гораздо больше информации, чем может предположить обычный пользователь. После возникшего скандала компании пришлось быстро изменить эту практику.
То же самое произошло и с другими приложениями, такими как AccuWeather, крупными СМИ, такими как The New York Times или Wall Street Journal, или гигантами электронной коммерции, такими как AliExpress. Их застали за тем, что они без предупреждения доставали что-то из буфера обмена.В некоторых случаях этому было какое-то техническое обоснование, в других же это было более очевидным нарушением доверия.
Закономерность очевидна: без системных уведомлений пользователь ничего не знает; с уведомлениями... Приложения находятся под давлением, требующим обосновать такой доступ или просто прекратить его предоставление. Чтобы избежать публичного скандала. Прозрачность, даже если это всего лишь небольшой знак, является очень эффективным сдерживающим фактором.
Как определить, обращается ли приложение к буферу обмена на Android?
На Android ситуация во многом зависит от версии вашей системы. Тем не менее, существует несколько уровней защиты и ведения журналов, понимание которых полезно для того, чтобы знать, кто имеет доступ к чему.
Уведомления о доступе к буферу обмена на Android 12 и выше
Начиная с Android 12, появилась опция конфиденциальности, которая изменяет систему. Отображать небольшое уведомление, когда приложение обращается к вашему буферу обмена.Это похоже на уведомление, которое появляется, когда приложение использует вашу камеру или микрофон, только в данном случае оно относится к скопированному вами содержимому.
Обычно процедура (она может немного отличаться в зависимости от марки) выглядит примерно так: Настройки > Конфиденциальность > Показать доступ к буферу обменаЕсли эта функция включена, то каждый раз, когда приложение считывает содержимое буфера обмена, в верхней части экрана в течение нескольких секунд будет отображаться сообщение, указывающее, какое приложение его считало.
Есть важные нюансы: например, клавиатура Gboard Обычно эти предупреждения не распространяются на него.Это происходит потому, что система сама считывает содержимое буфера обмена для выполнения основных функций. А если эти уведомления вас раздражают, вы можете отключить их в том же меню, хотя при этом вы потеряете эту прозрачность.
Ограничения и риски, связанные с более старыми версиями Android.
В Android 9 и более ранних версиях ситуация была значительно опаснее: Любое приложение, работающее в фоновом режиме, может считывать содержимое буфера обмена, связанное с приложением, находящимся на переднем плане.Без ограничений и незаметно для вас. Если вы все еще используете старую версию, вы находитесь в гораздо более рискованной ситуации.
В Android 10 внесено ключевое изменение: ограничен доступ к буферу обмена из фоновых процессов, что Это предотвращает слежку со стороны приложения, которое вы не используете активно, за тем, что вы копируете в другом приложении.А в Android 13 добавлена функция автоматического удаления содержимого буфера обмена через определенное время, что сокращает период, в течение которого ваши данные остаются доступными.
Для разработчиков Android также предлагает специальный водяной знак, который они могут применять к скопированному контенту, например: ClipDescription.EXTRA_IS_SENSITIVE или android.content.extra.IS_SENSITIVEЭта функция позволяет системе и клавиатуре скрывать предварительный просмотр текста в буфере обмена. Если приложение обрабатывает конфиденциальные данные (банковская информация, коды двухфакторной аутентификации, пароли и т. д.), оно должно помечать этот контент таким образом, чтобы предотвратить его легкий просмотр другими пользователями.
Как использовать историю разрешений в Android?
Хотя история разрешений Android в основном сосредоточена на разрешении камеры, микрофона, местоположения и подобных разрешениях, она служит общим индикатором поведения пользователя. Во многих последних оболочках Android вы можете перейти по этой ссылке. Настройки > Безопасность и конфиденциальность > Конфиденциальность > Просмотреть все разрешения чтобы проверить, какие приложения обращались к каждому разрешению и когда.
В этой панели вы увидите два основных представления: список, отсортированный по типу доступа (камера, микрофон, контакты и т. д.), и еще одно. по приложениям, где вы можете просмотреть, что использовало каждое приложение.Хотя буфер обмена не управляется как классическое разрешение, если вы видите, что приложение уже ведет себя подозрительно с другими разрешениями, логично также заподозрить, что оно делает с тем, что вы копируете и вставляете.
Если вы обнаружили странный доступ (например, игра запрашивает доступ к камере или контактам без видимой причины, или приложение-фонарик с абсурдным списком разрешений), разумнее всего поступить следующим образом: Отмените те уведомления, которые не имеют смысла, и даже подумайте об удалении приложения.Чем меньше прав доступа у приложения, тем меньше вреда оно может причинить в случае некорректной работы.
Монитор разрешений и дополнительные уровни защиты в некоторых устройствах Android.
Некоторые производители добавляют собственные инструменты. Например, на некоторых телефонах Samsung есть... «Монитор разрешений приложений», который оповещает вас, когда фоновое приложение пытается использовать определенное разрешение.помимо записи всей этой активности в историю с возможностью поиска.
Вот что произошло с журналистом, который увидел, как приложение авиакомпании пытается получить доступ к камере его телефона, несмотря на то, что разрешение было отключено. Система мониторинга сработала, и это позволило ему... обнаружилось, что приложение пыталось открыть камеру в неподходящее время.это вызвало бурные дебаты в социальных сетях.
В таких случаях система обычно предупреждает о попытке, но если в разрешении отказано, Приложение фактически не использует рассматриваемую камеру или датчик.Тем не менее, сама попытка является тревожным сигналом, который нельзя игнорировать.
Как определить, обращается ли приложение к буферу обмена на iOS
В экосистеме Apple поведение буфера обмена также значительно изменилось за последние годы, были приняты меры, направленные на то, чтобы Узнайте, какие приложения просматривают ваши скопированные данные и как ограничить автоматический доступ..
Уведомления о доступе к буферу обмена в iOS 14 и более поздних версиях.
Начиная с iOS 14, всякий раз, когда приложение считывает данные из буфера обмена, в верхней части экрана появляется уведомление, указывающее, какое приложение это сделало. Это означает, что Если вы видите это сообщение, ничего не вставляя вручную, значит, приложение самостоятельно "проверило" буфер обмена..
До появления этой функции автоматический доступ был очень распространен: Многие приложения проверяли, что именно вы скопировали, просто открыв их или переключившись на другой экран.Теперь каждое из этих показаний, будь то для удобства или для пополнения своих систем отслеживания, оставляет след в виде визуального оповещения, что заставляет многих разработчиков переосмыслить свое поведение.
Этот механизм не делает различий между законным и неправомерным использованием, но предоставляет минимальную информацию, необходимую для принятия решения о том, доверять ли этому приложению. Если вы видите, что приложение, которым вы почти не пользуетесь, Программа постоянно считывает содержимое буфера обмена; у вас есть веские основания отозвать разрешения или удалить её полностью..
Безопасная вставка и внесение изменений в iOS 15
В iOS 15 компания Apple представила улучшение под названием Secure Paste. Эта функция позволяет разработчикам... Внедрите систему, в которой, несмотря на необходимость доступа к буферу обмена, приложение фактически не «видит» его содержимое до тех пор, пока пользователь не подтвердит это. При склеивании это своего рода промежуточный слой, который снижает возможность бесшумного доступа.
Проблема в том, что не все приложения адаптировались к этой системе. Если при использовании определенного приложения вы продолжаете видеть уведомление о доступе к буферу обмена,Обычно это указывает на то, что разработчики еще не интегрировали Secure Paste и получают доступ к контенту традиционным способом.
На данный момент Apple не предлагает способа полностью запретить приложению считывать содержимое буфера обмена, если вы решите это сделать, помимо информации, предоставляемой уведомлениями, и вашего собственного решения. Прекратите использование или удалите все приложения, поведение которых вам не нравится.Если вы хотите повлиять на разработку подобных функций, вы можете отправлять свои предложения непосредственно в Apple через формы обратной связи по продукту.
Индикаторы камеры и микрофона как дополнительная подсказка
Хотя первоначальный вопрос касается буфера обмена, в iOS очень полезно знать физические индикаторы доступа к микрофону и камере: При использовании микрофона появляется оранжевая точка, а при использовании камеры — зелёная., вверху экрана.
Эти точки служат непосредственным «индикатором». Если вы это видите, Зелёная или оранжевая точка загорается, когда вы не ведёте запись, не разговариваете по телефону и не делаете фотографии.Это вызывает подозрения в отношении приложения, которое вы сейчас используете. Это простой, но невероятно эффективный инструмент для обнаружения несанкционированного доступа.
На Android можно сделать нечто подобное с помощью таких приложений, как Access Dots, которые Они отображают светодиодные индикаторы на экране, чтобы предупредить вас всякий раз, когда приложение использует камеру или микрофон.Это не встроенная функция, как в iOS, но она добавляет визуальный уровень контроля, который очень полезен для обнаружения странного поведения.
Что именно может увидеть приложение из буфера обмена, и почему это представляет риск?
Приложение, обращающееся к буферу обмена, видит не просто «бессмысленный фрагмент текста». В зависимости от того, что вы копируете, Они могут получить доступ к очень личным URL-адресам, фотографиям, которые вы переносите из одной социальной сети в другую, номерам телефонов, физическим адресам или даже полным банковским реквизитам..
Для злоумышленника это просто находка: объединение скопированных данных с вашими привычками просмотра веб-страниц и другой информацией, которая уже есть в приложении, значительно упрощает задачу. создать очень подробный профиль, описывающий, кто вы, чем занимаетесь и с кем общаетесь.В финансовых или аутентификационных приложениях риск возрастает еще больше, поскольку могут быть перехвачены коды подтверждения или номера карт.
Именно поэтому OWASP, стандарт безопасности приложений, включает в себя управление буфером обмена. Категория качества кода MASVS-CODEНекачественная реализация буфера обмена в приложении может открыть другим приложениям или злоумышленникам возможность практически без усилий получить доступ к крайне конфиденциальным данным.
Что делают эксперты и такие инструменты, как AppCensus?
Чтобы точно понять, что делает приложение внутри, недостаточно просто посмотреть, какие разрешения оно запрашивает в магазине. Запросить разрешение — это одно, а вот как и когда его использовать — совсем другое.Большинство пользователей не имеют возможности просмотреть эту информацию на своих мобильных телефонах.
Исследователи из таких учреждений, как ICSI, создали проекты, подобные AppCensus, где Они модифицируют версию Android, чтобы внедрить в систему инструменты, позволяющие точно записывать, к каким данным обращаются приложения и когда это происходит.Это приложение нельзя установить из Google Play как обычное, поскольку для этого требуются серьёзные изменения в операционной системе.
В результате этого анализа они обнаружили тысячи приложений (более 12 000 в одном из своих исследований), которые Они продолжали собирать личную информацию даже после того, как пользователь явно отказал им в разрешении.Число потенциально пострадавших пользователей исчисляется сотнями миллионов, что дает представление о масштабах проблемы.
Для обычного пользователя такие инструменты, как AppCensus, служат в первую очередь источником информации: Перед тем как установить или продолжить использовать популярное приложение, вы можете проверить, как оно на самом деле обрабатывает ваши данные.Это не идеальное решение, но лучше, чем полагаться исключительно на описание товара в магазине или на бесконечную, неоднозначную политику конфиденциальности.
Как проверить и контролировать разрешения вашего приложения?
Хотя планшет для записей не обеспечивает такого прямого контроля, как камера или микрофон, значительная часть вашей безопасности зависит от него. Разумно распоряжайтесь оставшимися разрешениями каждого приложения.как на Android, так и на iOS.
На Android список приложений и их разрешений можно просмотреть в настройках конфиденциальности и безопасности: камера, микрофон, местоположение, контакты, хранилище и т. д.Некоторые уровни даже позволяют выбирать, может ли приложение использовать разрешение всегда, только во время использования или только один раз.
На iOS происходит нечто подобное: в разделе конфиденциальности настроек можно перейти по категориям (камера, микрофон, фотографии, местоположение и т. д.), чтобы Посмотрите, каким приложениям предоставлены разрешения, и отключите их одним касанием.Имейте в виду, что некоторые функции перестанут работать, если вы удалите ключевые разрешения, но вы почти всегда сможете восстановить их, когда они вам действительно понадобятся.
Практические советы по защите себя как пользователя.
Помимо системных оповещений и расширенных функций, лучшей защитой остается здравый смысл. Прежде чем устанавливать приложение, Внимательно изучите запрашиваемые разрешения и задайте себе вопрос, действительно ли они необходимы для выполнения обещанных действий.Фонарик, который пытается получить доступ к вашим контактам, точному местоположению и фотографиям, как минимум, вызывает подозрения.
Если у вас несколько приложений, выполняющих одну и ту же функцию, всегда выбирайте то, которое вам подходит. Запрашивайте меньше разрешений, чем считаете ненужным или избыточным.Зачастую существуют не менее качественные альтернативы, которые обеспечивают более высокий уровень конфиденциальности просто потому, что их разработчики решили не собирать данные для рекламы или агрессивной аналитики.
На Android, если вы не можете обновиться до последней версии, имеет смысл использовать приложение, которое... Автоматически очищать содержимое буфера обмена через некоторое время.Начиная с Android 13 и более поздних версий, система делает это автоматически, чего не было в более ранних версиях. Это снижает уязвимость для вредоносных приложений, которые могут попытаться прочитать скопированный вами контент.
Заключительные соображения
Наконец, выработайте привычку по возможности не копировать и не вставлять особо конфиденциальные данные. Используйте Менеджеры паролей с безопасным автозаполнением Вместо того чтобы копировать пароли вручную, и если вам необходимо скопировать временный код, попробуйте вставить его и удалить как можно скорее, чтобы он не оставался в буфере обмена дольше, чем необходимо.
В конечном счете, буфер обмена — невероятно удобный инструмент, но также и настоящая находка для любого приложения, которое хочет узнать о вас больше, чем следует. Благодаря последним версиям Android и iOS у нас теперь есть оповещения, история и дополнительные опции, позволяющие нам определять, кто просматривает скопированный вами контент, и пресекать это. Тем не менее, крайне важно критически оценивать разрешения, ограничивать установку только действительно необходимыми приложениями и быть осмотрительным в отношении того, что вы копируете и вставляете, поскольку на кону стоит значительная часть вашей ежедневной цифровой конфиденциальности. Поделитесь этим руководством, и больше пользователей узнают об этой теме..