Accesso alla Clipboard su iPhone, quali rischi per la nostra sicurezza?

Con iOS 14 abbiamo scoperto che tante app accedono alla Clipboard su iPhone, ma quali rischi reali ci sono per la sicurezza degli utenti?

Da quanto è disponibile la prima beta di iOS 14, si sta parlando molto della nuova funzione che avvisa gli utenti quando un’app accede alla Clipboard su iPhone, visto che alcuni sviluppatori sembrano aver abusato fino ad oggi di questa possibilità anche senza un motivo apparente. Ma è davvero così rischioso fornire l’accesso agli appunti quando copia-incolliamo qualcosa?

clipboard ios 14

Clipboard e iOS 14

iOS 14 introduce una nuova autorizzazione che le app dovranno richiedere per accedere alla Clipboard e relativi avvisi. Quest’ultima notifica, almeno nella prima beta, compare ogni qual volta abbiamo copiato qualcosa negli appunti e apriamo un’app che accede alla Clipboard. La funzionalità è progettata per offrire agli utenti una migliore comprensione di come le app interagiscono con i loro dati, anche se attualmente il numero di avvisi è effettivamente eccessivo.

Il problema è che, fino ad oggi, tante app hanno attivato l’accesso alla Clipboard anche senza motivi funzionali, come si sta scoprendo in questi giorni proprio grazie alle nuove notifiche di iOS 14: TikTok e Reddit, ma anche Mysk, CNBC, Weibo, LinkedIn, The New York Times e tante altre.

Cosa succede?

Cosa fanno esattamente queste app? Semplicemente, accedono al contenuto della Clipboard, lì dove vengono memorizzati i testi “copiati” dall’utente: ogni qual volta copi e incolli un qualsiasi contenuto su iOS, questo viene archiviato negli Appunti per consentirti di incollarlo in un secondo momento. Il fatto è che le app su iOS e iPadOS hanno accesso illimitato non solo agli Appunti, ma anche alla Universal Clipboard che il sistema operativo utilizza per consentire il copia-incolla tra i vari dispositivi dell’utente (iPhone, iPad, Mac).

Di solito, il contenuto dei testi copiati su iOS include informazioni innocue come un URL, una lista della spesa o un estratto di un articolo di notizie, ma in alcuni casi potrebbero essere copiate informazioni importanti come password, indirizzi, date di nascita o dati bancari. Per questo motivo, considerata la grande attenzione di Apple verso la sicurezza e la privacy, appare strano che ci sia voluto così tanto tempo prima che il problema venisse in qualche modo affrontato con iOS 14. Fino ad oggi, infatti, gli utenti non avevano alcun tipo di consapevolezza o di controllo sulle app che potevano accedere alla Clipboard.

I nuovi avvisi

Come accennato prima, iOS 14 introduce un nuovo strumento contro lo snooping degli appunti, grazie ad un avviso che compare ogni qual volta un’app accede alla Clipboard. Inoltre, dalle impostazioni di iOS gli utenti hanno la possibilità di scegliere quali app possono o non possono accedere agli appunti.

Chi ha installato la prima beta di iOS 14 si è quindi ritrovato con la comparsa di questi avvisi in tantissime app, comprese alcune che non avevano motivo di accedere alla Clipboard dell’iPhone. Grazie a iOS 14, è diventato subito chiaro che il problema era molto più evidente e grave di quel che si pensava, sia per le tante app interessate, sia per la frequenza con accedevano agli appunti. Non a caso, molte delle app citate prima hanno informato pubblicamente che l’accesso continuo alla Clipboard era un bug e che il problema sarebbe stato presto risolto con un update.

L’accesso delle app?

Veniamo ora al cuore della questione: perché tante app accedono così frequentemente alla Clipboard di iPhone e iPad?

Diciamo subito che è difficile capire e separare le app che leggono gli Appunti per giuste ragioni (consentirti ad esempio di incollare del testo negli appositi box), da quelle che lo fanno per ragioni sbagliate o senza alcun motivo apparente.

Ad esempio, TikTok ha sostenuto che che la funzione di accesso alla Clipboard era stata aggiunta come misura anti-spam, per impedire alle persone di inviare una lunga serie di messaggi di spamming. Dopo la scoperta di questo continuo accesso, però, gli sviluppatori hanno fatto sapere di aver aggiornato l’app per rimuovere la funzione e che l’azienda sta lavorando ad un nuovo sistema anti-spam molto più evoluto. LinkedIn, invece, ha dichiarato che l’accesso agli Appunti era causato da un bug radicato in una vecchia versione del codice che risaliva al 2014. Reddit, invece, ha detto che l’accesso è dovuto a un codepath che controlla gli URL e che i dati non vengono archiviati o inviati altrove. Per tutti, aggiornamenti già disponibili o in arrivo nei prossimi giorni elimineranno questi accessi continui alla Clipboard.

Un altro problema è che è molto difficile capire cosa accade con questi dati, visto che non esiste un modo certo per verificare cosa fa un’app con i dati che legge negli Appunti.

Il terzo punto, forse quello più importante, è che ci sono tante ragioni del tutto legittime per cui un’app vorrebbe accedere al contenuto della Clipboard. Pensate ad un browser come Chrome, dove è utile incollare magari un URL copiato da un documento, o l’app ufficiale di una banca che permette di copiare l’IBAN. Anche in questi casi, iOS 14 continuerà a mostrare gli avvisi agli utenti, con il rischio di creare inutili allarmismi.

Una buona notizia è che Apple sta migliorando le API del pasteboard di iOS 14 per aiutare a ridurre il numero di volte in cui viene visualizzata una notifica di “incolla” degli appunti. Una volta aggiornata con le nuove API di iOS 14,  l’app può interrogare gli Appunti per capire il tipo di dati che contiene, senza accedervi effettivamente. Ad esempio, un’app può sapere in anticipo se gli appunti contengono un URL o una ricerca Web, ad esempio: Chrome potrà chiedere al sistema se la Clipboard contiene un URL e solo in quel caso copierà gli appunti e mostrerà l’avviso, visto che si tratta di un testo appropriato per l’app. Se negli appunti avevamo copiato una password, Chrome sarà solo che il tipo di testo copiato non è utile per l’app e quindi non ne avrà accesso (e l’utente non vedrà il banner).

Le novità

Con iOS 14, Apple ha dato agli utenti uno strumento per capire se un’app legge o meno i propri appunti, a prescindere se tale accesso sia legittimo o meno. Il merito è che ora c’è una maggiore consapevolezza su quali app accedono alla Clipboard, ma questa funzione andrebbe migliorata per evitare paure infondate che potrebbero spingere alcune persone a disattivare l’accesso in alcune app, limitando di fatto l’esperienza utente (provate ad usare per qualche giorno iPhone e iPad senza la funzione copia-incolla).

Ci sono però alcuni accorgimenti che possono aiutarci ad utilizzare in tutta sicurezza la funzione Clipboard, a prescindere dai vari avvisi:

  • App in uso: valuta se l’app che stai usando ha davvero bisogno di accedere agli Appunti; in caso contrario, con iOS 14 potrai disattivarne l’autorizzazione
  • Contenuto: se hai appena copiato un testo sensibile (dati bancari, numero di carta di credito, password), assicurati di incollarlo prima nell’app di cui hai bisogno, successivamente copia un qualsiasi altro testo per evitare che altre app possano leggere quei dati
  • Sezioni: anche se un’app ha motivo di accedere alla Clipboard, assicurati che questo non avvenga anche in altre schermate

Inoltre, molti sviluppatori stanno rispondendo agli utenti che hanno dubbi sulla questione Clipboard. Per questo, se utilizzate spesso una particolare app e avete delle perplessità in merito, potete contattare i canali ufficiali dello sviluppatore e in poco tempo dovreste ricevere una risposta esaustiva.

In ogni caso, se hai ancora dei dubbi su una particolare app che accede agli Appunti sta a te trovare un equilibrio tra l’utilizzo della funzione copia-incolla e la sicurezza, per poi decidere se utilizzarla o meno.

E voi, cosa farete?

HotAcquista iPhone 15 su Amazon!
Approfondimenti