Vous devez faire très attention aux raccourcis que vous téléchargez, car certains de ces scripts d'automatisation iOS ont été créés par des personnes mal intentionnées à des fins malveillantes.
Exemple: le développeur de Codea Simeon est tombé sur un raccourci malveillant déguisé pour apparaître à l'utilisateur comme un optimiseur et un nettoyeur de RAM innocent (via iGen.fr).
En réalité, il recueille des données personnelles comme des contacts, des adresses, des fichiers sur votre appareil et quoi d'autre. Ce truc est archivé en silence dans un fichier ZIP qui est envoyé via un iMessage à un attaquant.
À partir de contacts très personnels, des noms que vous avez saisis dans iMessage, des adresses, de l'historique de navigation, de l'utilisation des applications, du contenu des fichiers
J'avais même chargé le texte entier de David Copperfield de Dickens dans Codea récemment pour tester les performances d'édition. Les noms et les lieux de l'histoire ont été indexés / 2 pic.twitter.com/2bfIr9aqCS
- Simeon (@twolivesleft) 23 janvier 2019
Ce raccourci particulier a pu échapper à cela car les détails de ce qu'il faisait étaient obscurcis par le codage base64. "J'ai divulgué tous les détails à Apple et j'espère qu'ils le corrigeront, mais plus les raccourcis deviennent courants, plus les gens doivent être conscients de la façon dont ils peuvent être utilisés à mauvais escient", a-t-il écrit sur Twitter..
Mis à part le fait que personne ne devrait jamais s'embêter à utiliser une application ou un raccourci qui promet de nettoyer votre mémoire (iOS fait un bien meilleur travail de gestion de la RAM que n'importe quelle application), il n'est pas clair ce qu'un utilisateur moyen pourrait faire pour éviter raccourcis malveillants.
DIDACTICIEL: Comment partager des fichiers iCloud Drive
Le problème avec les raccourcis est le puissant langage de script d'Apple qu'ils utilisent, permettant aux utilisateurs de chaîner plusieurs tâches répétitives en une seule action. Apple n'héberge pas de raccourcis créés par les utilisateurs, ils ne sont donc certainement pas examinés ou examinés en détail comme les applications App Store.
En règle générale, un raccourci créé par l'utilisateur est partagé via un lien de fichier iCloud.
Et c'est là que réside le problème. "Vous ne pouviez pas vous attendre à ce qu'un utilisateur raisonnable sache ce qu'il acceptait d'exécuter lors de la réception d'un lien hébergé par Apple vers un raccourci", a déclaré Simeon..
Apple pourrait atténuer ce problème en exigeant que tous les raccourcis soient hébergés par l'App Store afin que toutes les soumissions de la communauté puissent être filtrées par son équipe de révision.
Il pourrait également introduire de nouveaux types de mesures de protection comme nous l'avons vu dans macOS Mojave pour interdire les raccourcis pour accéder aux fonctions de bas niveau, comme le système de fichiers, ou au moins lancer une invite lorsqu'un raccourci veut jouer avec vos données.
Dans Mojave, les utilisateurs doivent donner leur autorisation lorsqu'une application ou un script souhaite contrôler d'autres applications (Préférences système → Sécurité et confidentialité → Confidentialité → Automatisation).
Ce serait bien d'avoir des options similaires dans iOS.
iGen a également proposé des mesures supplémentaires, telles que la vérification de l'authenticité d'un raccourci en examinant de plus près ce qu'il fait réellement dans l'application Raccourcis (appuyez sur Afficher les actions).
Vérification des actions d'un raccourci
Par exemple, si un raccourci qui est censé recadrer des images demande soudainement l'accès aux messages, cela devrait déclencher des drapeaux rouges. De plus, iGen met en garde les gens contre le téléchargement de raccourcis à partir de personnes ou de sites Web auxquels ils ne font pas confiance.
La galerie de scripts hébergée par Apple disponible dans l'application Raccourcis est une source fiable à coup sûr, mais qu'en est-il de tous ces scripts hébergés par iCloud et créés par la communauté que vous pouvez rencontrer sur Reddit et les médias sociaux?
iGeneration conseille de vérifier un raccourci par rapport à une liste de raccourcis de personnes bien connues dans la communauté Apple. Une telle liste est hébergée sur le site Web Sharecuts.
Vous devriez également consulter le site Web ShortcutsGallery, ainsi que parcourir la collection d'iDownloadBlog des meilleurs scripts de la communauté dans notre archive Focus sur les raccourcis.
Assurez-vous de vérifier les raccourcis que vous téléchargez via le site Web Sharecuts.
En résumé, n'importe qui peut créer, héberger et partager ses propres raccourcis et les empaqueter comme bon lui semble (c'est-à-dire «Effacer les captures d'écran des photos», «Performance Optimizer» et ainsi de suite) sans aucune répercussion.
Dans cet esprit, le fait d'avoir moins confiance dans les raccourcis créés par la communauté que vous téléchargez contribue grandement à résoudre ces problèmes de confidentialité et de sécurité liés à l'automatisation iOS..
Utilisez-vous des raccourcis sur votre appareil iOS?
Si oui, comment résoudriez-vous le problème de confiance si vous étiez Apple?
N'hésitez pas à faire écho à vos pensées dans les commentaires.