Pas op voor kwaadaardige snelkoppelingen

Je moet extra voorzichtig zijn met de snelkoppelingen die je downloadt, omdat sommige van deze iOS-automatiseringsscripts door kwaadwillende mensen zijn gemaakt voor kwaadaardige doeleinden.

Een goed voorbeeld: Codea-ontwikkelaar Simeon is een kwaadaardige snelkoppeling tegengekomen die vermomd is om aan de gebruiker te verschijnen als een onschuldige RAM-optimizer en schoner (via iGen.fr).

In werkelijkheid verzamelt het persoonlijke gegevens zoals contacten, adressen, bestanden op uw apparaat en wat niet. Dit spul wordt stil gearchiveerd in een ZIP-bestand dat via een iMessage naar een aanvaller wordt verzonden.

Van zeer persoonlijke contacten, namen die u in iMessage hebt getypt, adressen, browsegeschiedenis, app-gebruik, bestandsinhoud

Ik had zelfs onlangs de volledige tekst van Dickens 'David Copperfield in Codea geladen om de bewerkingsprestaties te testen. Namen en plaatsen uit het verhaal werden geïndexeerd / 2 pic.twitter.com/2bfIr9aqCS

- Simeon (@twolivesleft) 23 januari 2019

Die specifieke snelkoppeling kon hiermee wegkomen, omdat de details van wat het deed verborgen waren door base64-codering. "Ik heb alle details aan Apple bekendgemaakt en hoop dat ze het oplossen, maar hoe meer sneltoetsen mainstream worden, des te meer mensen moeten weten hoe ze krachtig kunnen worden misbruikt", schreef hij op Twitter.

Afgezien van het feit dat niemand ooit de moeite zou moeten nemen om een ​​app of een snelkoppeling te gebruiken die belooft je geheugen schoon te maken (iOS doet veel beter werk dan het beheren van een app), het is onduidelijk wat een gemiddelde gebruiker zou kunnen doen om te voorkomen kwaadaardige snelkoppelingen.

TUTORIAL: Hoe iCloud Drive-bestanden te delen

Het probleem met snelkoppelingen is de krachtige scripttaal van Apple die ze gebruiken, waardoor gebruikers meerdere repetitieve taken in één enkele actie kunnen koppelen. Apple host geen door de gebruiker gemaakte snelkoppelingen, dus deze worden zeker niet in detail gescreend of onderzocht, zoals App Store-apps.

Doorgaans wordt een door de gebruiker gemaakte snelkoppeling gedeeld via een iCloud-bestandskoppeling.

En daarin ligt het probleem. "Je kon niet verwachten dat een redelijke gebruiker zou weten waar ze mee instemden bij het ontvangen van een door Apple gehoste link naar een snelkoppeling," zei Simeon.

Apple kan dit probleem verhelpen door te eisen dat alle snelkoppelingen worden gehost door de App Store, zodat alle inzendingen van de community kunnen worden gescreend door het beoordelingsteam.

Het zou ook nieuwe soorten beschermende maatregelen kunnen introduceren zoals we zagen in macOS Mojave om snelkoppelingen te verbieden om toegang te krijgen tot functies op laag niveau, zoals het bestandssysteem, of op zijn minst een prompt te geven wanneer een snelkoppeling met uw gegevens wil knoeien.

In Mojave moeten gebruikers hun toestemming geven wanneer een app of een script andere apps wil beheren (Systeemvoorkeuren → Beveiliging en privacy → Privacy → Automatisering).

Het zou leuk zijn om vergelijkbare opties in iOS te hebben.

iGen stelde ook aanvullende maatregelen voor, zoals het controleren van de authenticiteit van een snelkoppeling door beter te kijken naar wat het echt doet in de app Snelkoppelingen (tik op Acties weergeven).

Acties van een snelkoppeling controleren

Als bijvoorbeeld een snelkoppeling die afbeeldingen moet bijsnijden plotseling toegang tot Berichten vraagt, zou dit rode vlaggen moeten genereren. Bovendien waarschuwt iGen mensen tegen het downloaden van snelkoppelingen van mensen of websites die ze niet vertrouwen.

De door Apple gehoste galerij met scripts die beschikbaar is in de Shortcuts-app is zeker een vertrouwde bron, maar hoe zit het met al die door iCloud gehoste, door de community gemaakte scripts die je tegenkomt op Reddit en sociale media?

iGeneration adviseert om een ​​snelkoppeling te vergelijken met een lijst met snelkoppelingen van mensen die bekend zijn in de Apple-gemeenschap. Een dergelijke lijst wordt gehost op de Sharecuts-website.

Bekijk ook de website ShortcutsGallery en blader door de verzameling iDownloadBlog van de beste communityscripts in ons Shortcuts Focus-archief.

Controleer de snelkoppelingen die u downloadt via de Sharecuts-website.

Samenvattend kan iedereen zijn eigen snelkoppelingen maken, hosten en delen en deze naar wens verpakken (d.w.z. “Schermafbeeldingen wissen van foto's”, “Performance Optimizer” enzovoort) zonder enige gevolgen.

Met dat in gedachten gaat het minder vertrouwen in door de community gemaakte snelkoppelingen die je download lang mee om deze privacy- en beveiligingsproblemen met iOS-automatisering aan te pakken.

Gebruik je snelkoppelingen op je iOS-apparaat?

Zo ja, hoe zou u het vertrouwensprobleem oplossen als u Apple was??

Voel je vrij om mee te denken met je gedachten in de reacties.