نرمافزارهای iOS میتوانند کلید خصوصی بیت کوین شما را کپی کنند!

نرمافزارهای iOS میتوانند کلید خصوصی بیت کوین شما را کپی کنند! : برخی از نرمافزارهای مطرح در سیستمعامل iOS قادر به کپی اطلاعات شده در حافظه گوشی (کلیپبورد) کاربران خود دسترسی پیدا کنند. لذا، اگر کاربران در آیفون یا آیپد خود کلید خصوصی یا عبارت بازیابی (۱۲ یا ۲۴ کلمه) کیف پول بیت کوین یا هر ارز دیجیتال دیگر را کپی کنند، خطر سرقت آنها وجود دارد و با استفاده از کلید خصوصی یا کلمات بازیابی میتوان داراییها را منتقل کرد.
(imore) این موضوع عجیب در سیستمعامل iOS را در این مقاله بررسی کرده است.
نخستین بار در ماه مارس (اسفند ۹۸) بود که وبسایت میسک موضوعِ جاسوسی از کلیپبورد را مطرح کرد. در مقالهای که میسک منتشر کرد، توضیح داده شده بود که چگونه برنامههای محبوب در iOS 13 بدون اطلاع و اجازه کاربران، اطلاعات مربوط به کلیپبورد آنها را میخوانند. نرمافزارهای مذکور تعدادی از رسانههای اجتماعی، بازیها و خبرگزاریها بودند که در بین آنها نامهای بزرگی مانند تیک تاک (TikTok)، نیویورک تایمز، ویبو (Weibo)، سیانبیسی (CNBC) و تعداد دیگری از نرمافزارها به چشم میخورد.
جاسوسی از کلیپبورد اپل چیست؟
نرمافزارهایی هستند که میتوانند به اطلاعات کلیپبورد دسترسی پیدا کنند. وقتی شما در iOS موردی را کپی و Paste میکنید، در بین این دو مرحله، محتوای کپیشده در کلیپبورد میماند. نرمافزارهایی که روی iOS و آیپد (iPadOS) نصب میشوند، دسترسی نامحدودی به محتوای کلیپبورد اصلی IOS دارند و موضوع نگرانکنندهتر این است که در سرویس کلیپبورد جهانی آیاواس (Universal Clipboard iOS) امکان الصاق محتوای کلیپبورد در دستگاههای مختلف وجود دارد.
بهمحضِ مطرح شدن این موضوع، زنگ خطرها به صدا درآمدند. با اینکه اطلاعات کلیپبورد معمولاً موضوعات بیضرر و سادهای مانند موردی برای اضافه کردن به لیست خرید یا بخشی از یک مقاله است، اما میتواند شامل اطلاعات مهمی مانند رمز عبور، کلید خصوصی ارزهای دیجیتال، آدرس، تاریخ تولد، اطلاعات حساب بانکی و حتی موارد مهم دیگری باشد.
این موضوع ادامه داشت تا اینکه در کنفرانس WWDC از iOS 14 رونمایی شد که در آن یک ابزار جدید برای مقابله با جاسوسی از کلیپبورد استفاده شده است. طبق اطلاعیه اپل، هر بار که اطلاعات کلیپبورد توسط برنامهای خوانده شود، یک اعلان (Notification) به کاربر فرستاده میشود. کتی اسکینر (Katie Skinner)، مهندس نرمافزار در اپل، در مصاحبهای گفت این کار به این خاطر بود که کاربران متوجهِ آنچه که بر سر اطلاعاتشان میآید، باشند.
اتفاقات بزرگتر بعد از اطلاعیهی اپل شروع شد. کاربران بعد از نصب نسخهی بتا با حجم انبوهی از اعلانها در گوشی خود مواجه شدند. بلافاصله مشخص شد که این موضوع بسیار گستردهتر از چیزی بود که تصور میشد؛ هم از نظر تعداد نرمافزارهایی که در آن نقش داشتند و هم از نظر تعداد دفعاتی که این اتفاق رخ میداد.
با بررسیهای بیشتر مشخص شد که تیک تاک بهازای هر دو یا سه ضربه، یک بار اطلاعات کلیپبورد را میخواند.
خیلی زود توییتر از اظهارات کاربرانی که ادعا میکردند اطلاعات کلیپبورد آنها توسط برخی از نرمافزارها خوانده میشود، پر شد. تیک تاک، فنتستیکال، ردیت و اخیراً لینکدین، ازجمله برنامههایی هستند که بسیاری از کاربران توییتر به آنها اشاره کردهاند.
چرا این اتفاق میافتد؟
میتوان از لحاظ فنی نیز کدها و رابط کاربری نرمافزارها را بررسی کرد که چرا توسعهدهندگان این نرمافزارها عمداً یا سهواً اطلاعات کلیپبورد کاربران را میخوانند. ممکن است برخی از نرمافزارها اجازه داشته باشند که در برخی از موارد این اطلاعات را بخوانند؛ اما نه همیشه. ممکن است چنین نرمافزارهایی در مواردی که مجاز به ذخیره اطلاعات نیستند، این کار را انجام داده و اطلاعات را در میان تعدادی از موارد مجاز پنهان کرده و ذخیره کنند.
برای مثال، تیک تاک میگوید که این ویژگی یک اقدام ضداسپم بوده است و برای جلوگیری از ایجاد اسپم در بخش نظرات طراحی شده است. در حال حاضر تیک تاک در آپدیت جدید این ویژگی را حذف کرده است؛ اما منتقدین به این نکته اشاره کردهاند که این موضوع بهعنوان یک ابتکار برای مقابل با اسپم، ایده بدی بوده است و بسیار عجیب است که شرکتی که میلیاردها دلار ارزش دارد، نتوانسته توسعهدهندهای را استخدام کند که مشکل اسپم را با روش درستتری حل کند.
لینکدین ادعا کرده است که این ویژگی بهخاطر یک باگ بوده است، اما با بررسی کد مشخص شده است که این ویژگی از سال ۲۰۱۴ در کد لینکدین وجود داشته است!
دلایل قانونی بسیاری برای دسترسی نرمافزارها به محتوای کلیپبورد وجود دارد؛ جستجوی شماره تلفن برای برنامه تماس تلفنی، جستجوی آدرس اینترنتی برای یک برنامه مرورگر وب و جستجوی شماره حساب بانکی توسط یک برنامه بانکی چند مورد از این موارد مجاز دسترسی است. قابلیت جدید دریافت اعلان در iOS 14 تفکیکی بین این موارد و موارد غیرمجاز قائل نمیشود. پس کاربران چگونه باید به این اعلانها واکنش نشان دهند؟
چگونه با این مشکل مقابله کنیم؟
اپل ابزاری را در اختیار کاربران قرار داده است که با آن میتوانند مشخص کنند چه نرمافزارهایی نباید به محتوای کلیپبورد دسترسی داشته باشند. این یک ویژگی داخلی در iOS است که میتوان از آن در نرمافزارهای غیرمخرب استفاده کرد.
در صورتی که برنامعه ای نصب کردید و متوجه شدید که برنامهای اطلاعات کلیپبورد شما را میخواند، این چند سؤال را از خود بپرسید:
- از چه نرمافزاری استفاده میکنم؟
- آیا اطلاعاتی که کپی کردهام، به کاری که در حال حاضر آن را انجام میدهم ارتباطی دارد؟
- آیا منطقی است که در این مورد خاص نرمافزار اطلاعات مرا بخواند؟
- آیا با خوانده شدن اطلاعاتم توسط این نرمافزار مشکلی ندارم؟
به کاربران بیت کوین و ارزهای دیجیتال که داراییهای خود را روی کیف پولهای iOS ذخیره میکنند، توصیه میشود از کپی کردن کلید خصوصی یا کلمات بازیابی خودداری کنند. همچنین میتوانید از برنامههای میانبری مانند «iOS Shortcut» استفاده کنید. این برنامه میتواند در هنگام باز شدن برنامهای که از قبل مشخص کردهاید، محتویات کلیپبورد را پاک کند؛ اما استفاده از آن اندکی پیچیده است.