Selon de nouvelles recherches, de nombreuses applications iOS et iPadOS populaires semblent espionner les presse-papiers des appareils, bien qu’il n’y ait actuellement aucune preuve d’abus.



Les applications sur iOS ou iPadOS ont généralement un accès illimité aux données copiées ou découpées dans le clavier du système. Apple, pour sa part, a déclaré qu’il s’agissait d’un comportement voulu. Mais une paire de développeurs iOS ont découvert que les applications peuvent lire ces données à l’insu de l’utilisateur chaque fois que l’application est ouverte.

Dans un article de blog, les développeurs Tommy Mysk et Talal Haj Bakry nomment une liste d’environ 50 applications qui lisent le contenu du presse-papiers iOS chaque fois qu’elles sont ouvertes à l’insu de l’utilisateur. La liste comprend des applications populaires comme TikTok, Accuweather, Truecaller, Overstock et une flopée de publications d’actualités.



Les développeurs, qui ont utilisé Xcode et la ligne de commande Xcode pour analyser le comportement des applications, ont également publié une vidéo de validation de principe démontrant la faille apparente.

Des applications populaires comme TikTok espionnent le presse-papiers de votre iPhone

Pour être clair, la recherche ne suggère pas que ces applications fassent quoi que ce soit de malveillant avec les données, ni même les exfiltrent. Ils le lisent. Mais ce seul fait laisse une porte ouverte à des abus potentiels.

Bien que les données stockées dans le presse-papiers soient généralement assez bénignes, la méthode peut être utilisée pour lire des informations copiées sensibles telles que les numéros de carte de crédit ou les mots de passe en clair. Si un utilisateur copie une image dans sa pellicule, elle peut également inclure des métadonnées avec des emplacements ou des coordonnées spécifiques, bien que les applications analysées par les développeurs ne regardent que du texte.

Ce n’est pas la première fois que Mysk et Bakry se penchent sur les vulnérabilités du presse-papiers. En février, le duo a soumis ses recherches sur les données de localisation du presse-papiers à Apple.

Le titan de la technologie de Cupertino leur aurait dit qu’ils ne voyaient pas de problème avec le comportement, car seules les applications au premier plan pouvaient lire le presse-papiers. Mysk et Bakry ont ensuite créé un widget qui montrait que les applications pouvaient accéder au presse-papiers dans la vue Aujourd’hui. Ils ont également montré que la faille pouvait être utilisée pour lire du texte copié sur un Mac via le Presse-papiers universel.

Il pourrait y avoir des raisons non malveillantes pour lesquelles cette lecture du presse-papiers se produit. Les développeurs ont déclaré à Forbes que cela pourrait être dû à une bibliothèque héritée lisant le presse-papiers et que certains développeurs peuvent ne pas savoir que cela se produit.

Mysk et Bakry soutiennent qu’Apple devrait agir pour supprimer la vulnérabilité car il serait assez trivial de créer un code malveillant qui exfiltre secrètement ces données.

La vulnérabilité devient plus inquiétante compte tenu des problèmes de sécurité et de confidentialité de certaines applications, telles que TikTok.

En avril 2019, le gouvernement indien a exhorté Apple à retirer TikTok de l’Inde App Store pour des raisons de sécurité des enfants. Alors que l’application a été restaurée en une semaine, TikTok est également surveillé dans d’autres parties du monde. Les États-Unis, par exemple, ont ouvert un examen de la sécurité nationale de l’application, a rapporté le New York Times.