強固なセキュリティであるとされるiOSですが、ここ最近はクリップボードに現状どうにもならない問題を抱えていると専門家に指摘されており、認知が低い事からその危険性を体験させるためだけのアプリも登場する事になっています。
この問題はiPhoneのセキュリティと利便性、サードパーティアプリとの連携といった兼ね合いからかなり解決の難しい問題なのですが、AppleはiOS 14から違う切り口でこの問題を解決するつもりのようです。
クリップボードを参照・保存したアプリを通知
Mysk社のセキュリティ研究者は今年3月、iPhoneに搭載されているクリップボードのコピー情報を一部のアプリが盗み見ている、という指摘を発表し話題となりました。
iPhoneでは選択したテキストで「コピー」を選んだり、パスワードマネージャーアプリなどではアカウント名をタップすると、パスワードやテキスト情報などをクリップボードと呼ばれる一時保管所に保存するのですが、これを関係ないアプリが盗み見ているという問題です。
実際にTikTokやPUBGなど著名なものに限っても56アプリでこの動作が確認されており、ユーザーを登録して使うタイプのアプリならユーザー情報とクリップボードにコピーした内容を集積して悪用する事もできるでしょう。
しかしこの問題の危険性はさほど一般には広まっておらず、こうした現状を危惧した開発者が『KlipboardSpy』と呼ばれるクリップボードの危険性を体験させるアプリをリリースしており、説明動画ではiPadのTouch IDで管理されているパスワードを起動すらしていないアプリで読み取って保存している様子が確認できます。
Hi, I’m KlipboardSpy! Here’s how I steal your passwords from your iPhone and iPad.
To learn more about this security hole, check out the link in my bio.pic.twitter.com/a0iNT3xKQ7
— KlipboardSpy (@KlipboardSpy) March 7, 2020
もちろんAppleもこの指摘からクリップボードの在り方について色々考えた事が伺え、システムの都合上制限すればiPhoneそのものが非常に使いにくいものになり、だからといって放置しておいても大丈夫な問題でない事は確認していたようです。
そしてiOS 14のベータ版で新たに実装された機能が、「クリップボードの情報を参照・保存した瞬間に参照したアプリを通知する」という機能で、前述のMysk社の公式Twitterにてこの機能が稼働している様子が公開されました。
Looks like @apple fixed the clipboard privacy issue we highlighted earlier this year. Apple said it wasn’t an issue, but surprisingly they fixed it in #iOS14 the exact way we recommended in our article.
A notification is shown every time an app or widget reads the clipboard
👇 pic.twitter.com/o6vZzQqO8a— Mysk (@mysk_co) June 22, 2020
ツイート動画ではまずメモに保存されたURLをコピー、次にChromeを起動するとChromeがクリップボードの情報を参照した事を通知し、通知センターを開くと『KlipboardSpy』が情報を参照した事を通知、そのまま『KlipboardSpy』が情報をアプリ内に格納した事を通知しました。
これにより、どのアプリがどのタイミングでクリップボードの内容を参照し、その情報を使用ないし保存したかどうかなどがわかるようになり、ユーザーの自己判断で当該アプリが危険かどうかを判断できるようにしたようです。
まとめ
このAppleの対応に「対応がぬるい!」という声も聞こえてきそうですが、現状の仕様上クリップボードに何かしらの制限を設けると単純にiPhoneが使いにくくなってしまうため、今のところAppleができる最大限の対策だと考えられます。
気にしない人も多いと思いますし、こういった通知がいちいち出てくるのを煩わしく思う人もいるでしょうから、設定でこの通知を出すか出さないかのON/OFFスイッチが設けられるのが一番ですね。
