TikTok a 32 dalších aplikací pro iOS stále slídí po vašich citlivých údajích ve schránce

Posted by admin Articles

V březnu výzkumníci odhalili znepokojivý zásah do soukromí u více než čtyř desítek aplikací pro iOS, včetně TikToku, fenoménu sociálních médií a sdílení videí, který se stal hitem internetu. Přestože TikTok přislíbil, že tuto praxi omezí, nadále přistupuje k některým nejcitlivějším údajům uživatelů Apple, které mohou zahrnovat hesla, adresy peněženek s kryptoměnami, odkazy na obnovení účtu a osobní zprávy. Nepřestalo s tím ani dalších 32 aplikací identifikovaných v březnu.

Narušení soukromí je důsledkem toho, že aplikace opakovaně čtou jakýkoli text, který se náhodou nachází ve schránkách, jež počítače a další zařízení používají k ukládání dat, která byla vystřižena nebo zkopírována z věcí, jako jsou správci hesel a e-mailové programy. Výzkumníci Talal Haj Bakry a Tommy Mysk zjistili, že aplikace bez jasného důvodu záměrně vyvolávají programové rozhraní systému iOS, které načítá text ze schránek uživatelů.

Univerzální slídění

V mnoha případech se skryté čtení neomezuje pouze na data uložená v místním zařízení. V případě, že iPhone nebo iPad používá stejné Apple ID jako jiná zařízení Apple a nacházejí se ve vzdálenosti zhruba 10 stop od sebe, sdílejí všechna zařízení univerzální schránku, což znamená, že obsah lze zkopírovat z aplikace jednoho zařízení a vložit do aplikace spuštěné na jiném zařízení.

To ponechává otevřenou možnost, že aplikace v iPhonu bude číst citlivá data ve schránkách jiných připojených zařízení. Mohlo by jít o bitcoinové adresy, hesla nebo e-mailové zprávy dočasně uložené ve schránce blízkého Macu nebo iPadu. Navzdory tomu, že aplikace pro iOS běží na samostatném zařízení, mohou snadno číst citlivé údaje uložené na jiných zařízeních.

Zobrazit více

„Je to velmi, velmi nebezpečné,“ řekl Mysk v pátečním rozhovoru s odkazem na nevybíravé čtení dat ze schránky aplikacemi. „Tyto aplikace čtou schránky a není k tomu žádný důvod. Aplikace, která nemá textové pole pro zadávání textu, nemá důvod číst text schránky.“

Následující video ukazuje čtení univerzální schránky:

KlipboardSpy: Jak škodlivé aplikace na iPhonu a iPadu zneužívají univerzální schránku na Macu.

Znovu ve zprávách

Ačkoli Haj Bakry a Mysk zveřejnili svůj výzkum v březnu, invazivní aplikace se tento týden opět dostaly na titulní stránky novin v souvislosti s vydáním vývojářské beta verze iOS 14. Nová funkce, kterou Apple přidal, poskytuje varovný banner pokaždé, když aplikace čte obsah schránky. Jakmile začalo beta verzi testovat velké množství lidí, rychle se ukázalo, kolik aplikací se této praktiky dopouští a jak často to dělají.

Toto video na YouTube, které od svého úterního zveřejnění nasbíralo více než 87 000 zhlédnutí, ukazuje malý vzorek aplikací spouštějících nové varování.

iOS14 přistihl aplikace špehující vaši schránku.

TikTok v centru pozornosti

Nedávné titulky zaměřily zvláštní pozornost na TikTok, z velké části kvůli jeho obrovské základně aktivních uživatelů (uvádí se, že jich má 800 milionů, přičemž jen v první polovině roku 2018 si jej nainstalovalo 104 milionů uživatelů systému iOS, což z něj činí nejstahovanější aplikaci za toto období).

Pokračující špehování TikToku se dostalo pod mimořádnou pozornost z jiných důvodů. Když byl poskytovatel sdílení videí v březnu vyzván, sdělil britskému listu The Telegraph, že tuto praxi v příštích týdnech ukončí. Mysk uvedl, že aplikace se sledováním nikdy nepřestala. Středeční vlákno na Twitteru navíc odhalilo, že ke čtení schránky dochází pokaždé, když uživatel při psaní komentáře zadá interpunkční znaménko nebo klepne na mezerník. To znamená, že ke čtení schránky může docházet přibližně každou sekundu, což je mnohem agresivnější tempo, než bylo zdokumentováno v březnovém výzkumu, který zjistil, že ke sledování dochází při otevření nebo opětovném otevření aplikace.

K reprodukci:
1. Mějte něco ve schránce. Např. zkopírujte nějaký text z poznámek nebo z webové stránky
2. Otevřete aplikaci TikTok a začněte psát do libovolného textového pole
3. Z beta verze iOS 14 se dozvíte pokaždé, když aplikace „vloží“ – v tomto případě jsem o to ale nepožádal a žádný z těchto textů se v uživatelském rozhraní nezobrazí

– Jeremy Burge (@jeremyburge) 24. června 2020

V prohlášení zástupci TikToku napsali:

Po vydání beta verze iOS14 22. června se uživatelům při používání řady populárních aplikací zobrazovala oznámení. V případě TikToku to bylo vyvoláno funkcí určenou k identifikaci opakovaného, spamového chování. Do App Store jsme již odeslali aktualizovanou verzi aplikace, která antispamovou funkci odstraňuje, abychom eliminovali případné zmatky.

TikTok se zavazuje chránit soukromí uživatelů a transparentně informovat o tom, jak naše aplikace funguje. Těšíme se, že později v tomto roce přivítáme externí odborníky v našem Centru pro transparentnost.

Na pozadí mluvčí uvedl, že TikTok pro Android antispamovou funkci nikdy neimplementoval.

Zaslal jsem doplňující otázky, ve kterých jsem se ptal, (1) zda verze TikTok pro Android monitorovala schránky z nějakého jiného důvodu, (2) zda se ze zařízení nahrával nějaký text ze schránky a (3) proč TikTok monitorování neodstranil, jak slíbil v březnu. Mluvčí zatím neodpověděl. Tento příspěvek bude aktualizován, pokud odpověď přijde později.

Nejen TikTok

Výzkumníci zjistili, že následující aplikace pro iOS četly data ze schránky uživatelů při každém otevření aplikace bez jasného důvodu:

  • Název aplikace – BundleID

News

  • ABC News – com.ABCNews
  • Al Jazeera English – ajenglishiphone
  • CBC News – ca.cbc.CBCNews
  • CBS News – com.H443NM7F8H.CBSNews
  • CNBC – com.nbcuni.cnbc.cnbcrtipad
  • Fox News – com.foxnews.foxnews
  • News Break – com.particlenews.newsbreak
  • New York Times – com.nytimes.NYTimes
  • NPR – org.npr.nprnews
  • ntv Nachrichten – de.n-tv.n-tvmobil
  • Reuters – com.thomsonreuters.Reuters
  • Russia Today – com.rt.RTNewsEnglish
  • Stern Nachrichten – de.grunerundjahr.Sternneu
  • The Economist – com.economist.lamarr
  • The Huffington Post – com.huffingtonpost.HuffingtonPost
  • The Wall Street Journal – com.Dowjones.WSJ.ipad
  • Vice News – com.vice.news.VICE-News

Hry

  • 8 Ball Pool™ – com.miniclip.8ballpoolmult
  • AMAZE!!! – com.amaze.game
  • Bejeweled – com.ea.ios.bejeweledskies
  • Block Puzzle -Game.BlockPuzzle
  • Classic Bejeweled – com.popcap.ios.Bej3
  • Classic Bejeweled HD -com.popcap.ios.Bej3HD
  • FlipTheGun – com.playgendary.flipgun
  • Fruit Ninja – com.halfbrick.FruitNinjaLite
  • Golfmasters – com.playgendary.sportmasterstwo
  • Letter Soup – com.candywriter.apollo7
  • Love Nikki – com.elex.nikki
  • My Emma – com.crazylabs.myemma
  • Plants vs. Zombies™ Heroes – com.ea.ios.pvzheroes
  • Pooking – Billiards City – com.pool.club.billiards.city
  • PUBG Mobile – com.tencent.ig
  • Tomb of the Mask – com.happymagenta.fromcore
  • Tomb of the Mask: Barva – com.happymagenta.totm2
  • Total Party Kill – com.adventureislands.totalpartykill
  • Watermarbling – com.hydro.dipping

Sociální sítě

  • TikTok – com.zhiliaoapp.musically
  • ToTalk – totalk.gofeiyu.com
  • Tok – com.SimpleDate.Tok
  • Truecaller – com.truesoftware.TrueCallerOther
  • Viber – com.Viber
  • Weibo – com.sina.weibo
  • Zoosk – com.zoosk.Zoosk

Other

  • 10% Happier: -com.changecollective.tenpercenthappier
  • 5-0 Rádiový policejní skener – com.smartestapple.50radiofree
  • Accuweather – com.yourcompany.TestWithCustomTabs
  • AliExpress Shopping App – com.alibaba.iAliexpress
  • Bed Bath & Beyond – com.digby.bedbathbeyond
  • Dazn – com.dazn.theApp
  • Hotels.com – com.hotels.HotelsNearMe
  • Hotel Tonight – com.hoteltonight.prod
  • Overstock – com.overstock.app
  • Pigment – Adult Coloring Book – com.pixite.pigment
  • Recolor Coloring Book to Color – com.sumoing.ReColor
  • Sky Ticket – de.sky.skyonline
  • The Weather Network – com.theweathernetwork.weathereyeiphone

Krátce po zveřejnění zprávy vyšlo 10% Happier: Hotel Tonight slíbil, že s tímto chováním přestane, a rychle to dodržel. TikTik také slíbil, že přestane byl přistižen při opětovném zapojení do této praxe. Zde je úplný seznam aplikací, které k 30. červnu praktiku omezily:

News

  • ABC News – com.abcnews.ABCNews
  • Al Jazeera English – ajenglishiphone
  • CBC News – ca.CBCNews
  • CBS News – com.H443NM7F8H.CBSNews
  • ntv Nachrichten – de.n-tv.n-tvmobil

Games

  • 8 Ball Pool™ – com.miniclip.8ballpoolmult
  • AMAZE!!! – com.amaze.game
  • Classic Bejeweled – com.popcap.ios.Bej3
  • Classic Bejeweled HD – com.popcap.ios.Bej3HD
  • Letter Soup – com.Candywriter.apollo7
  • PUBG Mobile – com.tencent.ig
  • Tomb of the Mask – com.happymagenta.fromcore
  • Tomb of the Mask: Happier: Color – com.happymagenta.totm2

Sociální sítě

  • TikTok – com.zhiliaoapp.musically
  • Truecaller – com.truesoftware.TrueCallerOther
  • Viber – com.viber

Other

  • 10% Happier: Rádiový policejní skener – com.changecollective.tenpercenthappier
  • 5-0 – com.smartestapple.50radiofree
  • Dazn – com.dazn.theApp
  • Hotels.com – com.hotels.HotelsNearMe
  • Hotel Tonight – com.hoteltonight.prod
  • Recolor Omalovánky k vybarvení – com.sumoing.ReColor

Správně provedené čtení ze schránky

V některých případech může být čtení ze schránky mnohem užitečnější. Například aplikace UPS pro iPhone vytáhne text ze schránky a v případě, že text odpovídá charakteristikám sledovacího čísla, aplikace vyzve uživatele ke sledování příslušné zásilky. Prohlížeč Google Chrome také vytáhne text a v případě, že se jedná o adresu URL, vyzve uživatele k jejímu procházení. Editor fotografií Pixelmator načte data pouze v případě, že se jedná o obrázek. Pokud ano, Pixelmator vyzve uživatele, aby jej otevřel k úpravám. Ve všech třech případech má čtení dat jasný důvod použití a je transparentní.

TikTok a další provinilé aplikace naopak přistupují ke schránce bez jasného důvodu a bez jakéhokoli náznaku, že tak činí. U mnoha aplikací je těžké vidět nějaký legitimní důvod pro výkon nebo použitelnost tohoto přístupu. Mysk uvedl, že Apple plánuje připsat jeho a Haj Bakryho výzkum jako katalyzátor nového oznámení o schránce vloženého do systému iOS 14.

Reklama

Čtení schránky, o kterém informovali Haj Bakry a Mysk, vyvolává obavy, které se pravděpodobně týkají i uživatelů systému Android a možná i dalších operačních systémů. Mysk uvedl, že čtení schránky v aplikacích pro Android je „ještě horší“ než v iOS, protože rozhraní API operačního systému je mnohem shovívavější. Například až do verze 10 Android umožňoval aplikacím běžícím na pozadí číst schránku. Naproti tomu aplikace pro iOS mohou číst schránku nebo se na ni dotazovat pouze tehdy, když jsou aktivní (tj. běží v popředí).

Mysk uvedl, že funkce oznámení společnosti Apple je dobrý začátek, ale v konečném důsledku by Apple a Google měly udělat více. Jednou z možností je, aby se přístup ke schránce stal standardním oprávněním, stejně jako je nyní přístup k mikrofonu nebo fotoaparátu. Další možností je požadovat po vývojářích aplikací, aby přesně zveřejňovali, k jakým datům schránky přistupují a co s nimi aplikace dělají.

Prozatím by si uživatelé měli být vědomi toho, že k jakýmkoli datům uloženým ve schránce – přestože jsou pouhým okem nenápadná – mohou pravidelně přistupovat aplikace, které v mnoha případech ani nejsou v zařízení lokálně nainstalovány. V případě pochybností propláchněte data schránky zkopírováním znaku, slova nebo jiného neškodného údaje.

.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.