Копіювання та вставка на телефоні настільки автоматичні, що ми майже не замислюємося про це. Але щоразу, коли ви це робите, ця інформація проходить через конфіденційне місце: буфер обміну. А звідти, Інші програми можуть навіть «шпигувати» за тим, що ви скопіювали.Від простих текстів до паролів, кодів 2FA чи банківських реквізитів, як Android, так і iOS включають сповіщення та інструменти, щоб повідомити вас, коли це станеться.
В останніх версіях мобільних операційних систем спеціально для цього додано індикатори, історії доступу та функції конфіденційності: щоб дізнатися, чи програма отримує доступ до вашого буфера обміну, камери, мікрофона чи інших конфіденційних дозволів без вашого дозволуДавайте детально розглянемо, як все це працює, які його обмеження та що ви можете зробити, щоб трохи краще захистити себе.
Чому буфер обміну такий чутливий до вашої конфіденційності?
Коли ви копіюєте щось на своєму телефоні, будь то текст, фотографія чи номер картки, цей вміст зберігається у спільній області системи, яка називається буфером обміну, і Будь-яка програма з доступом до буфера обміну може читати цей вміст, поки він там знаходиться.Вам не потрібно надавати йому спеціальний дозвіл, як це було б із камерою чи місцезнаходженням, що робить його дуже привабливим варіантом для незвичайних або погано розроблених програм.
Роками на Android та iOS, Програми могли «переглядати» буфер обміну непомітно для користувача.навіть коли ви їх відкривали або використовували для чогось іншого. Це призвело до гучних випадків, коли було виявлено, що додатки всіх видів (соціальні мережі, додатки з прогнозом погоди, газети, інтернет-магазини…) зчитували буфер обміну набагато частіше, ніж потрібно.
Проблема тут не лише в технічних аспектах, а й у тому, які дані ви копіюєте. Це дуже поширене явище для людей Копіювання паролів, кодів підтвердження SMS, номерів карток або повних адресЯкщо недобросовісний додаток отримає туди доступ, він матиме надзвичайно цінну інформацію для відстеження вас або, в гіршому випадку, для скоєння шахрайства.
Що змінилося в iOS та Android щодо доступу до буфера обміну?
Apple першою зробила сміливий крок з iOS 14: Щоразу, коли програма звертається до буфера обміну, система відображає сповіщення на екрані.Це просте повідомлення показало, що такі додатки, як TikTok, великі ЗМІ та навіть деякі інтернет-магазини читали буфер обміну з радістю, яку вони навіть не намагалися приховати.
Бачачи вплив цього заходу, Google вирішила рухатися в тому ж напрямку. Починаючи з Android 12, додано налаштування конфіденційності, яке, якщо його ввімкнути, робить так, що Ваш телефон сповістить вас, коли програма отримає доступ до тексту, зображень або іншого вмісту, скопійованого в буфер обміну.Ідея та сама: щоб користувач міг бачити, які програми сунуть носа туди, куди не слід.
Крім того, в самому Android доступ до буфера обміну стає дедалі складнішим залежно від версії: В Android 10 та пізніших версіях фонові програми більше не можуть так легко зчитувати вміст буфера обміну програми переднього плану.Це значно зменшує кількість прихованих атак від процесів, які ви не бачите на екрані.
Реальний випадок: програми, які "шпигують" у буфері обміну
Приклад TikTok на iOS 14 був добре відомий: системні сповіщення чітко дали зрозуміти, що Додаток постійно перевіряв буфер обмінуНібито для виявлення спаму або підозрілої поведінки, але на практиці збирається набагато більше інформації, ніж може собі уявити пересічний користувач. Після суперечки компанії довелося швидко змінити цю практику.
Те саме сталося з іншими додатками, такими як AccuWeather, великими ЗМІ, такими як The New York Times чи Wall Street Journal, або гігантами електронної комерції, такими як AliExpress, які Їх спіймали на доступі до буфера обміну без попередження.У деяких випадках було певне технічне обґрунтування, в інших це було радше очевидним порушенням довіри.
Закономірність зрозуміла: без системних сповіщень користувач нічого не знає; зі сповіщеннями, На додатки тиснуть, щоб вони виправдали цей доступ або просто припинили це робити. Щоб уникнути публічного скандалу. Прозорість, навіть якщо це просто демонстрація невеликої вивіски, діє як дуже ефективний стримуючий фактор.
Як дізнатися, чи програма отримує доступ до вашого буфера обміну на Android?
На Android ситуація значною мірою залежить від версії вашої системи. Тим не менш, існує кілька рівнів захисту та ведення журналу, які варто розуміти, щоб знати, хто має доступ до чого.
Сповіщення про доступ до буфера обміну на Android 12 або новішої версії
Починаючи з Android 12, є опція конфіденційності, яка робить систему Відображати невелике сповіщення, коли програма звертається до вашого буфера обмінуЦе схоже на сповіщення, яке з’являється, коли програма використовує вашу камеру або мікрофон, тільки в цьому випадку воно стосується скопійованого вами контенту.
Звичайний маршрут (він може дещо відрізнятися залежно від бренду) виглядає приблизно так: Налаштування > Конфіденційність > Показати доступ до буфера обмінуЯкщо у вас увімкнено цю функцію, щоразу, коли програма читає буфер обміну, ви бачитимете повідомлення протягом кількох секунд у верхній частині екрана, яке вказує, яка програма його прочитала.
Є важливі нюанси: наприклад, клавіатура Gboard Зазвичай на нього не поширюються ці попередження.Це тому, що це сама система, якій потрібно зчитувати буфер обміну для виконання основних функцій. А якщо ці сповіщення вас турбують, ви можете вимкнути їх у тому ж меню, хоча ви втратите цей рівень прозорості.
Обмеження та ризики версій Android у старіших версіях
В Android 9 та раніших версіях сценарій був значно небезпечнішим: Будь-яка програма, що працює у фоновому режимі, може зчитувати буфер обміну, пов'язаний із програмою переднього плану.Без обмежень і навіть без вашого відома. Якщо ви все ще використовуєте старішу версію, ви перебуваєте в набагато більшій ризикованій ситуації.
Android 10 вводить ключову зміну: вона обмежує доступ до буфера обміну для фонових процесів, що Це запобігає шпигунству програми, яку ви не використовуєте активно, за тим, що ви копіюєте в іншу програму.А в Android 13 додано автоматичне видалення вмісту буфера обміну через певний час, що зменшує вікно, в якому відображаються ваші дані.
Для розробників Android також пропонує спеціальний водяний знак, який вони можуть застосовувати до скопійованого контенту, наприклад, ClipDescription.EXTRA_IS_SENSITIVE або android.content.extra.IS_SENSITIVEЦя функція дозволяє системі та клавіатурі приховувати попередній перегляд тексту в буфері обміну. Якщо програма обробляє дуже конфіденційні дані (банківську інформацію, коди 2FA, паролі тощо), вона повинна позначати цей вміст таким чином, щоб запобігти його легкому перегляду іншими.
Як скористатися історією дозволів в Android?
Хоча історія дозволів Android зосереджена переважно на камері, мікрофоні, місцезнаходженні та подібних дозволах, вона служить загальним показником поведінки користувача. У багатьох сучасних версіях Android ви можете перейти до Налаштування > Безпека та конфіденційність > Конфіденційність > Переглянути всі дозволи щоб переглянути, які програми отримали доступ до кожного дозволу та коли.
На цій панелі ви побачите два основні режими перегляду: список, відсортований за типом дозволів (камера, мікрофон, контакти тощо), та інший за програмою, де ви можете переглянути, що використовувала кожна програма.Хоча буфер обміну не керується як класичний дозвіл, якщо ви бачите, що програма вже поводиться підозріло з іншими дозволами, логічно також підозріло ставитися до того, що вона може робити з тим, що ви копіюєте та вставляєте.
Якщо ви помітили дивний доступ (наприклад, гра запитує доступ до камери чи контактів без видимої причини, або додаток-ліхтарик з абсурдним списком дозволів), розумним рішенням буде… Скасуйте ті, які не мають сенсу, і навіть розгляньте можливість видалення програмиЧим менше дозволів має програма, тим менше шкоди вона може завдати, якщо поводиться неправильно.
Монітор дозволів та додаткові шари на деяких пристроях Android
Деякі виробники додають власні інструменти. Наприклад, на деяких телефонах Samsung є «Монітор дозволів програм», який сповіщає вас, коли фонова програма намагається використовувати певний дозвілкрім того, запис усієї цієї активності в історію з можливістю пошуку.
Саме це сталося з журналістом, який побачив, як застосунок авіакомпанії намагається отримати доступ до камери його телефону, хоча дозвіл був вимкнений. Монітор спрацювало сповіщення, що дозволило йому... виявлення того, що програма намагалася відкрити камеру у невиправданий час, що викликало гарячу дискусію в соцмережах.
У цих випадках система зазвичай попереджає про спробу, але якщо дозвіл відхилено, Додаток насправді не використовує камеру чи відповідний датчикНавіть попри це, сама спроба є попереджувальним знаком, який не слід ігнорувати.
Як дізнатися, чи програма звертається до буфера обміну на iOS
В екосистемі Apple поведінка буфера обміну також значно змінилася за останні роки, і заходи, спрямовані на Дізнайтеся, які програми переглядають ваші скопійовані дані та як зменшити автоматичний доступ.
Сповіщення про доступ до буфера обміну в iOS 14 та пізніших версіях
Починаючи з iOS 14, щоразу, коли програма зчитує буфер обміну, у верхній частині екрана з’являється сповіщення, яке вказує, яка програма це зробила. Це означає, що Якщо ви бачите це повідомлення, не вставляючи нічого вручну, програма самостійно «переглянула» буфер обміну..
До появи цієї функції автоматичний доступ був дуже поширеним явищем: Багато програм перевіряли скопійовані дані, просто відкриваючи їх або змінюючи екрани.Чи то для зручності, чи то для забезпечення своїх систем відстеження, кожне з цих показань тепер залишає слід у вигляді візуального сповіщення, що змушує багатьох розробників переглянути свою поведінку.
Цей механізм не розрізняє законне використання та зловживання, але надає вам мінімальну інформацію, необхідну для вирішення, чи довіряєте ви цьому додатку. Якщо ви бачите, що додаток, яким майже не користуєтеся Він постійно читає буфер обміну; у вас є вагома причина скасувати дозволи або взагалі видалити його..
Безпечне вставлення та зміни в iOS 15
У iOS 15 Apple представила покращення під назвою Secure Paste. Ця функція дозволяє розробникам... Реалізуйте систему, де, хоча застосунку потрібен доступ до буфера обміну, він фактично не «бачить» вміст, доки користувач не підтвердить це. При приклеюванні. Це своєрідний проміжний шар, що зменшує безшумний доступ.
Проблема полягає в тому, що не всі програми адаптувалися до цієї системи. Якщо ви продовжуєте бачити сповіщення про доступ до буфера обміну під час використання певної програмиЗазвичай це вказує на те, що розробники ще не інтегрували Secure Paste та отримують доступ до контенту традиційним способом.
Наразі Apple не пропонує способу повністю заборонити програмі читати буфер обміну, якщо ви вирішите його використовувати, окрім інформації, що надається сповіщеннями, та вашого власного рішення зробити це. Припиніть використання або видаліть будь-які програми, чия робота вам не подобається.Якщо ви хочете вплинути на ці типи функцій, ви можете надсилати пропозиції безпосередньо до Apple через їхні форми відгуків про продукт.
Індикатори камери та мікрофона як додаткова підказка
Хоча початкове питання стосується буфера обміну, в iOS дуже корисно знати про фізичні індикатори доступу до мікрофона та камери: Під час використання мікрофона з’являється помаранчева точка, а під час використання камери – зелена.у верхній частині екрана.
Ці точки виступають як безпосередній «індикатор». Якщо ви бачите, що Зелена або помаранчева точка активується, коли ви не записуєте, не розмовляєте по телефону та не фотографуєте.Це викликає підозру щодо програми, яку ви зараз використовуєте. Це простий, але неймовірно ефективний інструмент для виявлення незвичайного доступу.
На Android ви можете зробити щось подібне за допомогою таких програм, як Access Dots, які Вони відображають ці світлодіодні індикатори на екрані, щоб попередити вас щоразу, коли програма використовує камеру або мікрофон.Це не так вбудовано, як в iOS, але додає візуальний рівень контролю, який дуже корисний для виявлення дивної поведінки.
Що насправді може бачити програма з буфера обміну, і чому це ризик?
Програма, яка отримує доступ до буфера обміну, не просто бачить «беззмістовний фрагмент тексту». Залежно від того, що ви копіюєте, Вони можуть мати доступ до дуже особистих URL-адрес, фотографій, які ви переносите з однієї соціальної мережі в іншу, номерів телефонів, фізичних адрес або навіть повних банківських реквізитів..
Для зловмисника це чисте золото: поєднання того, що ви копіюєте, з вашими звичками перегляду веб-сторінок та іншими даними, які вже має додаток, значно спрощує процес. створити дуже детальний профіль того, хто ви, чим ви займаєтесь і з ким спілкуєтесьУ фінансових програмах або програмах для автентифікації ризик ще більше зростає, оскільки можуть бути перехоплені коди підтвердження або номери карток.
Ось чому OWASP, стандарт безпеки додатків, включає управління буфером обміну в Категорія якості коду MASVS-CODEПогана реалізація буфера обміну в додатку може відкрити двері для інших додатків або зловмисників, щоб майже без зусиль отримати надзвичайно конфіденційні дані.
Що роблять експерти та інструменти, такі як AppCensus?
Щоб точно знати, що робить додаток внутрішньо, недостатньо бачити, які дозволи він запитує в сховищі. Одне діло — запитувати дозвіл, а зовсім інше — як і коли його використовувати.Більшість користувачів не мають можливості побачити цю інформацію на своєму мобільному телефоні.
Дослідники з таких установ, як ICSI, створили проекти, подібні до AppCensus, де Вони модифікують версію Android, щоб інструменталізувати систему та записувати, яких саме даних торкаються програми та коли вони це роблять.Це не те, що можна встановити з Google Play, як звичайний додаток, оскільки це вимагає суттєвих змін в операційній системі.
Завдяки цьому аналізу вони виявили тисячі застосувань (понад 12 000 в одному з їхніх розслідувань), які Вони продовжували збирати особисту інформацію навіть після того, як користувач прямо відмовив їм у дозволі.Кількість потенційно постраждалих користувачів обчислюється сотнями мільйонів, що дає уявлення про масштаби проблеми.
Для пересічного користувача такі інструменти, як AppCensus, слугують переважно джерелом інформації: Ви можете перевірити, що популярний додаток насправді робить з вашими даними, перш ніж вирішити встановити його або продовжити користуватися ним.Це не ідеально, але краще, ніж покладатися виключно на опис магазину чи нескінченну, неоднозначну політику конфіденційності.
Як переглянути та контролювати дозволи програми?
Хоча буфер обміну не пропонує такого прямого керування, як камера чи мікрофон, значна частина вашої безпеки залежить від нього. Розумно керуйте рештою дозволів кожної програми., як на Android, так і на iOS.
На Android ви можете переглянути список програм та їхні дозволи в налаштуваннях конфіденційності та безпеки: камера, мікрофон, місцезнаходження, контакти, пам'ять тощо.Деякі шари навіть дозволяють вибрати, чи може програма використовувати дозвіл завжди, лише під час його використання чи лише один раз.
На iOS відбувається щось подібне: у розділі конфіденційності налаштувань ви можете переходити за категоріями (камера, мікрофон, фотографії, місцезнаходження…), щоб Переглядайте, які програми мають дозволи, і вимикайте їх одним дотиком.Майте на увазі, що певні функції перестануть працювати, якщо ви видалите ключові дозволи, але ви майже завжди можете повернути їх, коли вони вам дійсно знадобляться.
Практичні поради щодо захисту себе як користувача
Окрім системних сповіщень та розширених функцій, найкращим захистом залишається здоровий глузд. Перш ніж встановлювати програму, Уважно подивіться на дозволи, які він запитує, і запитайте себе, чи справді вони йому потрібні для виконання обіцяного.Ліхтарик, який хоче отримати доступ до ваших контактів, вашого точного місцезнаходження та ваших фотографій, м’яко кажучи, підозрілий.
Якщо у вас є кілька програм, які виконують одну й ту ж функцію, завжди вибирайте ту, яка Запитуйте менше дозволів, ніж ви вважаєте зайвим або надмірним.Часто існують не менш хороші альтернативи, які більше поважають вашу конфіденційність просто тому, що їхні розробники вирішили не збирати дані для реклами чи агресивної аналітики.
На Android, якщо ви не можете оновити його до останньої версії, має сенс використовувати додаток, який Автоматично очищати вміст буфера обміну через деякий часПочинаючи з Android 13 та пізніших версій, система робить це автоматично, але не в попередніх версіях. Це зменшує вразливість шкідливих програм, які можуть спробувати прочитати те, що ви копіюєте.
Заключні міркування
Зрештою, візьміть за звичку не копіювати та не вставляти особливо конфіденційні дані, якщо це можливо. Використовуйте Менеджери паролів із безпечним автозаповненням Замість копіювання паролів вручну, а також якщо вам потрібно скопіювати тимчасовий код, спробуйте вставити його та видалити якомога швидше, щоб він не залишався в буфері обміну довше, ніж потрібно.
Зрештою, буфер обміну – це неймовірно зручний інструмент, але також маленька золота жила для будь-якої програми, яка хоче знати про вас більше, ніж слід. Завдяки останнім версіям Android та iOS у нас тепер є сповіщення, історії та додаткові опції, які дозволяють нам виявляти, хто переглядає те, що ви копіюєте, і зупиняти це. Однак, як і раніше, важливо критично перевіряти дозволи, обмежувати встановлення лише тими програмами, які вам дійсно потрібні, і бути обережним з тим, що ви копіюєте та вставляєте, оскільки на кону значна частина вашої щоденної цифрової конфіденційності. Поділіться цим посібником, і більше користувачів дізнаються про цю тему.