نرم‌افزارهای iOS می‌توانند کلید خصوصی بیت کوین شما را کپی کنند!

برخی از نرم‌افزارهای مطرح در سیستم‌عامل iOS قادر هستند اطلاعات کپی‌شده در حافظه گوشی (کلیپ‌بورد) کاربران خود را به‌دست بیاورند. بنابراین، اگر کاربران در آیفون یا آیپد خود کلید خصوصی یا عبارت بازیابی (۱۲ یا ۲۴ کلمه) کیف پول بیت کوین یا هر ارز دیجیتال دیگر را کپی کنند، خطر سرقت آنها وجود دارد و همان‌طور که احتمالاً می‌دانید با استفاده از کلید خصوصی یا کلمات بازیابی می‌توان دارایی‌ها را منتقل کرد. مقاله‌ای از وب‌سایت آی‌مور (imore) این موضوع عجیب در سیستم‌عامل iOS را بررسی کرده است که آن را در ادامه می‌خوانید.

اگر اخبار اپل را هرچند با کمترین علاقه پیگیری کنید، حتماً عبارت «جاسوسی از کلیپ‌بورد» (Clipboard Snooping) در هفته‌های اخیر به گوشتان خورده است. بعد از کنفرانس جهانی توسعه‌دهندگان اپل (WWDC) در سال ۲۰۲۰ که نسخه بتای iOS##356پیش بینی بیت کوین 356##عرضه شد، گمانه‌زنی‌ها در این مورد بیشتر شد. اما جاسوسی از کلیپ‌بورد چیست؟ چرا قبلاً چیزی در این مورد نشنیده بودیم؟ آیا باید نگران باشیم؟

اولین بار در ماه مارس (اسفند ۹۸) بود که وب‌سایت میسک موضوعِ جاسوسی از کلیپ‌بورد را مطرح کرد. در مقاله‌ای که میسک منتشر کرد، توضیح داده شده بود که چگونه برنامه‌های محبوب در iOS##356باج افزار 356##بدون اطلاع و اجازه کاربران، اطلاعات مربوط به کلیپ‌بورد آنها را می‌خوانند. نرم‌افزارهای مذکور تعدادی از رسانه‌های اجتماعی، بازی‌ها و خبرگزاری‌ها بودند که در بین آنها نام‌های بزرگی مانند تیک ‌تاک (TikTok)، نیویورک‌ تایمز، ویبو (Weibo)، سی‌ان‌بی‌سی (CNBC) و تعداد دیگری از نرم‌افزارها به چشم می‌خورد.

جاسوسی از کلیپ‌بورد اپل چیست؟

طبق تحقیقاتی که نتایج آن اخیراً منتشر شده است، نرم‌افزارهایی هستند که می‌توانند اطلاعات کلیپ‌بورد را به‌دست بیاورند. وقتی شما در iOS چیزی را کپی و الصاق (Paste) می‌کنید، در بین این دو مرحله، محتوای کپی‌شده در کلیپ‌بورد می‌ماند. نرم‌افزارهایی که روی iOS و آی‌پد (iPadOS) نصب می‌شوند، دسترسی نامحدودی به محتوای کلیپ‌بورد اصلی آی‌اواس دارند و موضوع نگران‌کننده‌تر این است که در سرویس کلیپ‌بورد جهانی آی‌اواس (Universal Clipboard iOS) امکان الصاق محتوای کلیپ‌بورد در دستگاه‌های مختلف وجود دارد.

به‌محضِ مطرح شدن این موضوع، زنگ خطرها به صدا درآمدند. با اینکه اطلاعات کلیپ‌بورد معمولاً موضوعات بی‌ضرر و ساده‌ای مانند موردی برای اضافه کردن به لیست خرید یا بخشی از یک مقاله است، اما می‌تواند شامل اطلاعات مهمی مانند رمز عبور، کلید خصوصی ارزهای دیجیتال، آدرس، تاریخ تولد، اطلاعات حساب بانکی و حتی موارد مهم دیگری باشد.

با وجود نگرانی‌های زیادی که در مورد ماهیت این موضوع وجود داشت، توجه زیادی به آن نشد و این مشکل در نسخه‌های بعدی iOS مورد بررسی قرار نگرفت.

این موضوع تا دو هفته قبل ادامه داشت تا اینکه در کنفرانس WWDC از iOS##356پیش بینی بیت کوین 356##رونمایی شد که در آن یک ابزار جدید برای مقابله با جاسوسی از کلیپ‌بورد استفاده شده است. طبق اطلاعیه اپل، هر بار که اطلاعات کلیپ‌بورد توسط برنامه‌ای خوانده شود، یک اعلان (Notification) به کاربر فرستاده می‌شود. کتی اسکینر (Katie Skinner)، مهندس نرم‌افزار در اپل، در مصاحبه‌ای گفت این کار به این خاطر بود که کاربران متوجهِ آنچه که بر سر اطلاعاتشان می‌آید، باشند.

اتفاقات بزرگتر دقیقاً بعد از اطلاعیه‌ی اپل شروع شد. کاربران بعد از نصب نسخه‌ی بتا با حجم انبوهی از اعلان‌ها در گوشی خود مواجه شدند. بلافاصله مشخص شد که این موضوع بسیار گسترده‌تر از چیزی بود که تصور می‌شد؛ هم از نظر تعداد نرم‌افزارهایی که در آن نقش داشتند و هم از نظر تعداد دفعاتی که این اتفاق رخ می‌داد.

این موضوع واکنش‌های زیادی در پی داشت. جرمی بِرگ (Jeremy burge) که یک تاریخ‌نویس اموجی است و از او با عناوینی مانند «پادشاه اموجی» یاد می‌شود، در توییتی از این باگ صحبت کرد و نوشت به نظر می‌رسد با هر بار ضربه زدن به صفحه گوشی، اطلاعات کلیپ‌بورد در نرم‌افزار تیک ‌تاک ذخیره می‌شود.

با بررسی‌های بیشتر مشخص شد که تیک ‌تاک به‌ازای هر دو یا سه ضربه، یک بار اطلاعات کلیپ‌بورد را می‌خواند.

خیلی زود توییتر از اظهارات کاربرانی که ادعا می‌کردند اطلاعات کلیپ‌بورد آنها توسط برخی از نرم‌افزارها خوانده می‌شود، پر شد. تیک تاک، فنتستیکال، ردیت و اخیراً لینکدین، ازجمله برنامه‌هایی هستند که بسیاری از کاربران توییتر به آنها اشاره کرده‌اند.

چرا این اتفاق می‌افتد؟

چندین دلیل برای چرایی این کار توسط این نرم‌افزارها وجود دارد. همچنین می‌توان از لحاظ فنی نیز کدها و رابط کاربری نرم‌افزارها را بررسی کرد که چرا توسعه‌دهندگان این نرم‌افزارها عمداً یا سهواً اطلاعات کلیپ‌بورد کاربران را می‌خوانند. مشکلی که وجود دارد این است که جدا کردن برنامه‌هایی که با دلیل منطقی این اطلاعات را می‎خوانند، از آنهایی که به‌دلایل اشتباه یا بدون دلیل این کار را می‌کنند، سخت است. علاوه بر این، ممکن است برخی از نرم‌افزارها اجازه داشته باشند که در برخی از موارد این اطلاعات را بخوانند؛ اما نه همیشه. ممکن است چنین نرم‌افزارهایی در مواردی که مجاز به ذخیره اطلاعات نیستند، این کار را انجام داده و اطلاعات را در میان تعدادی از موارد مجاز پنهان کرده و ذخیره کنند.

برای مثال، تیک ‌تاک می‌گوید که این ویژگی یک اقدام ضداسپم بوده است و برای جلوگیری از ایجاد اسپم در بخش نظرات طراحی شده است. در حال حاضر تیک ‌تاک در آپدیت جدید این ویژگی را حذف کرده است؛ اما منتقدین به این نکته اشاره کرده‌اند که این موضوع به‌عنوان یک ابتکار برای مقابل با اسپم، ایده بدی بوده است و بسیار عجیب است که شرکتی که میلیاردها دلار ارزش دارد، نتوانسته توسعه‌دهنده‌ای را استخدام کند که مشکل اسپم را با روش درست‌تری حل کند.

جاسوسی از کلیپ‌بورد

لینکدین ادعا کرده است که این ویژگی به‌خاطر یک باگ بوده است، اما با بررسی کد مشخص شده است که این ویژگی از سال ۲۰۱۴ در کد لینکدین وجود داشته است!

فهمیدن این موضوع که چه بر سر این اطلاعات می‌آید، سخت است. کارشناسان میسک معتقدند که برخی از این اطلاعات به کلی نادیده گرفته می‌شوند؛ اما ممکن است برخی از آنها با نیت نادرست در سرورها ذخیره شوند. هیچ روشی وجود ندارد تا بتوان با آن بررسی کرد که نرم‌افزارها با اطلاعات خوانده‌شده از کلیپ‌بوردها چه می‌کنند؛ مگر پرسش مستقیم از توسعه‌دهندگان این نرم‌افزارها.

متاسفانه دلایل قانونی بسیاری برای دسترسی نرم‌افزارها به محتوای کلیپ‌بورد وجود دارد؛ جستجوی شماره تلفن برای برنامه تماس تلفنی، جستجوی آدرس اینترنتی برای یک برنامه مرورگر وب و جستجوی شماره حساب بانکی توسط یک برنامه بانکی چند مورد از این موارد مجاز دسترسی است. قابلیت جدید دریافت اعلان در iOS##356پیش بینی بیت کوین 356##تفکیکی بین این موارد و موارد غیرمجاز قائل نمی‌شود. پس کاربران چگونه باید به این اعلان‌ها واکنش نشان دهند؟

چگونه با این مشکل مقابله کنیم؟

اپل ابزاری را در اختیار کاربران قرار داده است که با آن می‌توانند مشخص کنند چه نرم‌افزارهایی نباید به محتوای کلیپ‌بورد دسترسی داشته باشند. این یک ویژگی داخلی در iOS است که می‌توان از آن در نرم‌افزارهای غیرمخرب استفاده کرد.

همان‌طور که اشاره شد، در هفته‌های اخیر توجه بیشتری از سوی کاربران و توسعه‌‌دهندگان به این مشکل جلب شده است. پس اگر شما هم از نسخه بتای iOS##356پیش بینی بیت کوین 356##استفاده می‌کنید یا قصد دارد در آینده نزدیک از نسخه نهایی آن استفاده کنید و متوجه شدید که برنامه‌ای اطلاعات کلیپ‌بورد شما را می‌خواند، این چند سؤال را از خود بپرسید:

از چه نرم‌افزاری استفاده می‌کنم؟آیا اطلاعاتی که کپی کرده‌ام، به کاری که در حال حاضر آن را انجام می‌دهم ربطی دارد؟آیا منطقی است که در این مورد خاص نرم‌افزار اطلاعات مرا بخواند؟آیا با خوانده شدن اطلاعاتم توسط این نرم‌افزار مشکلی ندارم؟

به کاربران بیت کوین و ارزهای دیجیتال که دارایی‌های خود را روی کیف پول‌های iOS ذخیره می‌کنند، توصیه می‌کنیم از کپی کردن کلید خصوصی یا کلمات بازیابی خود خودداری کنند. همچنین می‌توانید از برنامه‌های میانبری مانند «iOS Shortcut» استفاده کنید. این برنامه می‌تواند در هنگام باز شدن برنامه‌ای که از قبل مشخص کرده‌اید، محتویات کلیپ‌بورد را پاک کند؛ اما استفاده از آن اندکی پیچیده است.

The post نرم‌افزارهای iOS می‌توانند کلید خصوصی بیت کوین شما را کپی کنند! appeared first on ارزدیجیتال.