Beperelték a LinkedIn-t, mert azon kapták, hogy iOS készülékek vágólapjain szaglászik

A Microsoft érdekeltségébe tartozó LinkedIn-t azon kapták, hogy iPhone-nal és iPad-del rendelkező felhasználók vágólapjait olvasgatta. Noha a vállalat azt állította, hogy csak egy szoftverhibáról van szó, egy iPhone felhasználó pert indított érzékeny adatok feltételezett, vágólapról történő engedély nélküli olvasása miatt.

Részletek itt.

Hozzászólások

Mivel ios14-től jelez a rendszer ha valami vizslatja a vágólapot, ezért a hasonló "felfedezések" meg fognak szaporodni.

remélem a tiktok-ot is beperelte.

iOS fejlesztőket kérdem, hogy tud ez szoftverhiba lenni? Tud?

Ha nem válaszolnék kommentben, hát küldj privátot!

amíg nem kapnak rajta addig feature. Ha rajtakapnak akkor "sanyi véletlenül önállóan rendszert épített és üzemeltetett hozzá, de természetesen önálló partizán akció keretében a cég többi része, pláne a management semmit se tudott róla :D "

https://goo.gl/muWzKz (digitalocean)

Csak próbáltam ártatlanság vélelmével élni, esetleg fals pozitívot ad az a felügyeleti funkció, ami ezt kijelezte, Android-on is elég érdekesen néztek emberek, amikor egyes jogosultságok felmerültek, aztán kiderült, hogy töredéke se kell annak, csak hát össze vannak rakva egy kupacba.

Ha nem válaszolnék kommentben, hát küldj privátot!

töredéke se kell annak, csak hát össze vannak rakva egy kupacba

Amiért akasztani kellet volna már az első pillanattól fogva a másik gazembercég a gugli teljes felsővezetését is. Mégsem lógott se a picsai, se az alatta székletelő android vice házmesterek egyike sem, azóta is él mind vidâman. Neked meg ha kell az a kibaszott app, rá kell nyomnod a *.* összes kurva engedélyre, különben mutat egy szép nagy lófaszt a programocska, oszt lép is kifele.

"Ne irj sajat trackinget, ott a FaszTudjaMelyikTracker github.com/fasztudjamelyiktracker"

include fasztudjamelyiktracker

fasztudjamelyiktracker.startTracking()

Ez a leggyakoribb modja annak, hogy tenyleg "bug" legyen (inkabb hogy magukat a deveket is meglepje a "feature" futasa)

Manapság a copy and paste jelszavak használata miatt amúgy is a clipboard az egyik legnagyobb security risk/hole/breach/whatever.

Nem vagyok mobilfeljesztő, de feltételezem, ha nincs összefércelve minden, mint az iOS esetén, akkor a droid alkalmazásnak kell detektálnia, hogy éppen screenshot történik ahhoz, hogy maszkolni tudjon.
Ez nem tűnik triviálisnak, ha nincs erre valami trigger.

SE 2-d lett végül?
Meg vagy elégedve vele?

Valami megoldás mintha lenne rá, mert a Snapchat pl. küld notificationt, ha valaki screenshotolja az üzeneted. Bár az elhangzottak alapján lehet, hogy ez iOS feature, és Androidon eleve nem tudsz screenshotot csinálni róla, passz.

SE 2-d lett végül?

XR van most, elvileg nemsokára jön az új céges teló, az majd SE 2 lesz a tervek szerint.

Nem ertek iOS-hez, az Androidos Keepass meg csinalt sajat "billentyuzetet", amit aktivalhatsz, es "begepeli" neked a kivalasztott jelszot, a vagolap megkerulesevel.

When you tear out a man's tongue, you are not proving him a liar, you're only telling the world that you fear what he might say. -George R.R. Martin

Aham, egy LastPass, 1Password, DashLane egy darab szar..ertelek. :) Mashogy is kerdezhetnem: kimasolsz egy jelszot, amit _barhova_ be akarsz utana masolni (teljesen mindegy, hogy hova, lehet akar egy excel-file is a telefonon, nem ez a lenyeg), megis hogyan tenned meg, ha nem a vagolappal? Nem minden a browser extension, plane mobilon. Tehat ilyen esetben egy ponton erintkeznie kell a vagolappal, nem megkerulheto.

Hát, ha azok csak vágólapon keresztül tudnak neked jelszót adni, akkor bizony mind az :) Nyilván nem azok (illetve hát a lastpasst egyszer emlékszem, hogy mikor konkrétan megnézte egy hozzáértő, akkor az lett a verdict, hogy de, az bizony egy darab szar), hiszen nem is csak így működnek. A te eredeti állításod ez: 

> Valoszinuleg arra gondolt, hogy ajelszokezelok a vagolapra masoljak a jelszot, ahonnan te beilleszted a form-ba. Ebben van is valami.

Lefordítva magyarra, a jelszókezelő vágólapon keresztül kommunikál, nem "esetleg azon keresztül is". A mobil OSeknek mind van beépített támogatása arra, hogy ezt lehessen normálisan* csinálni, az összes böngészőbe lehet plugint írni, cli programokat nyugodtan meg lehet etetni stdinen, ez az esetek nagyon nagy részét bizony lefedi. Valóban van néhány eset -- mindenféle vastagkliensek leginkább -- amiket nem, de egyrészt ezek inkább a kivétel, mintsem a szabály esetek, másrészt meg már minden jelszókezelő öregapja a keepass óta tudjuk, hogy billentyűzet leütést még mindig lehet emulálni, a vágólapnál még az is jobb, 2020ban nem nagyon van kifogás arra, ha ezeket valaki nem implementálja, szóval ha a tiedben az esetek nagy részében a vágólapon utazik az adat, akkor az szar, vagy ha nem kéne neki, akkor meg te használod szarul.

Egyébként van még egy titkos módszer, ami egészen megdöbbentő biotechnológiát alkalmaz: nézed a kicsi szemeddel, és begépeled a kicsi kezeddel. Kellett nekem olyan jelszavakat kezelni, amit inkább átgépeltem, mintsem kitegyek a vágólapra. Igaz, ott a "jelszókezelő" valóban nem támogatott semmi mást, de elnéztük neki, mert az egyéb biztonsági featurjei az adott helyzetben lényegesen fontosabbak voltak, és igazából az is feature volt, hogy kb csak kigépelni lehetett belőle dolgokat.

* Bár a guglinál tapasztalataim szerint sajnos elég "mesésen" működik (értsd, hol volt, hol nem volt), azt meg ütném, aki átesett a ló másik oldalára, és most már háttérben futó appokat csak permanent notificationnal lehet rendesen írni, mert a nagy védelemben sikerült megszüntetni a "igen, ezt én akarom folyamatosan, tudom mit csinálok" gombot.

" Egyébként van még egy titkos módszer, ami egészen megdöbbentő biotechnológiát alkalmaz: nézed a kicsi szemeddel, és begépeled a kicsi kezeddel. Kellett nekem olyan jelszavakat kezelni, amit inkább átgépeltem, mintsem kitegyek a vágólapra. Igaz, ott a "jelszókezelő" valóban nem támogatott semmi mást, de elnéztük neki, mert az egyéb biztonsági featurjei az adott helyzetben lényegesen fontosabbak voltak, és igazából az is feature volt, hogy kb csak kigépelni lehetett belőle dolgokat."

Aha, erre mutatok egy peldat: hG_}CX=#eF:}M=.ygwc248cE

A master password-omon tul az osszes jelszavam ilyen, min. 24 karakteres (nehany helyen tobb), hasonlo sema alapjan. Gondolom szukseg szerint minden alkalommal elkezdened begepelni..na, ami biztos, hogy en egyszer sem vagyok ra hajlando.

"akkor meg te használod szarul"

Ha nalam igeny, hogy masolni tudjam a bejegyzeseket (igy akar a jelszavakat), abban semmi "szar" nincs, ilyen az igeny. Es eleg gyakran kell ekkeppen kimasolnom adatokat a jelszokezelobol, mashogy nem is lehetne, csak nem akarod megerteni. Mondok egy gyakorlati peldat, kajat rendelek, SZEP-kartyaval fizetek. A kartya adatai benne vannak a jelszokezeloben, egy reszet ki tudja tolteni automatikusan, mas reszet nem - pl. a jelszot, ami a fizeteshez kell, nem, mivel egy bankkartyanak jellemzoen nem jelszava van, azt bizony minden alkalommal fogom, kimasolom, majd beillesztem a fizetesi feluleten. Tekintettel arra, hogy annak is a fentihez hasonlo a jelszava, mashogy nem is lehetne. Ennyit errol (es nem, a fizetesi form - tehat amit a szolgaltato nyujt, semmi rahatasom - sem ad lehetoseget automatikus kitoltesre).

Ja, csak nem mindegy, hogy az pl egy dedikált csatornán jut el a felhasználó programhoz (lásd mindenféle browser pluginek), vagy a nagyonfontostitkosjelszó átvitelére a vágólapot hsználjuk, aminek konkrétan az a featureje, hogy a tartalmához miden fiszemfaszom hozzá tudjon férni.

Én az iOS fejlesztőket faggatnám inkább arról, hogyan lehet a vágólap olvasható ?

Cib netbank is kérdés nélkül csinálja, és a leírás sem tartalmazza hogy tud ilyet.

Ha a vágólap iban-t tartalmaz, egyből ráugrik, persze ahhoz hogy észrevegye, hogy IBAN, mindent ki kell olvasnia...