I marts afslørede forskere en foruroligende indgreb i privatlivets fred i mere end fire dusin iOS-apps, herunder TikTok, det kinesisk-ejede sociale medie og videodelingsfænomen, der har taget internettet med storm. Til trods for at TikTok har lovet at begrænse denne praksis, fortsætter det med at få adgang til nogle af Apple-brugernes mest følsomme data, som kan omfatte adgangskoder, adresser til kryptovaluta-tegnebøger, links til nulstilling af konti og personlige beskeder. Andre 32 apps, der blev identificeret i marts, er heller ikke stoppet.

Invasionen af privatlivets fred er resultatet af, at appsene gentagne gange læser enhver tekst, der tilfældigvis befinder sig i clipboards, som computere og andre enheder bruger til at gemme data, der er blevet klippet eller kopieret fra ting som adgangskodeadministratorer og e-mail-programmer. Uden nogen klar grund til at gøre det, fandt forskerne Talal Haj Bakry og Tommy Mysk, kaldte appsene bevidst en iOS-programmeringsgrænseflade, der henter tekst fra brugernes clipboards.

Universal snooping

I mange tilfælde er den skjulte læsning ikke begrænset til data, der er gemt på den lokale enhed. Hvis iPhone eller iPad bruger det samme Apple-id som andre Apple-enheder og befinder sig inden for en afstand af ca. 3 meter fra hinanden, deler alle enhederne et universelt udklipsholder, hvilket betyder, at indhold kan kopieres fra appen på én enhed og indsættes i en app, der kører på en separat enhed.

Det giver mulighed for, at en app på en iPhone kan læse følsomme data på udklipsholdere på andre tilsluttede enheder. Dette kunne omfatte bitcoin-adresser, adgangskoder eller e-mail-meddelelser, der midlertidigt er gemt på udklipsholderen på en nærliggende Mac eller iPad. På trods af at iOS-apps kører på en separat enhed, kan de let læse de følsomme data, der er gemt på de andre maskiner.

Se mere

“Det er meget, meget farligt,” sagde Mysk i et interview fredag, og henviste til appernes vilkårlige læsning af data fra udklipsholderen. “Disse apps læser udklipsholdere, og der er ingen grund til at gøre det. En app, der ikke har et tekstfelt til at indtaste tekst, har ingen grund til at læse tekst fra udklipsholderen.”

Videoen nedenfor demonstrerer universel udklipsholderlæsning:

Tilbage i nyhederne

Mens Haj Bakry og Mysk offentliggjorde deres forskning i marts, kom de invasive apps igen i overskrifterne i denne uge med udviklerbetaversionen af iOS 14. En ny funktion, som Apple har tilføjet, giver en banneradvarsel, hver gang en app læser indholdet af udklipsholderen. Da et stort antal mennesker begyndte at teste betaversionen, blev de hurtigt klar over, hvor mange apps der benytter sig af denne praksis, og hvor ofte de gør det.

Denne YouTube-video, som har fået mere end 87.000 visninger, siden den blev offentliggjort i tirsdags, viser et lille udsnit af de apps, der udløser den nye advarsel.

TikTok i søgelyset

De seneste overskrifter har fokuseret særlig opmærksomhed på TikTok, i høj grad på grund af dets massive base af aktive brugere (rapporteret til 800 millioner, med en anslået 104 millioner iOS-installationer alene i første halvår af 2018, hvilket gør det til den mest downloadede app i den periode).

TikToks fortsatte snagen har fået ekstra opmærksomhed af andre årsager. Da udbyderen af videodeling blev opfordret i marts, fortalte den britiske publikation The Telegraph, at den ville stoppe denne praksis i de kommende uger. Mysk sagde, at appen aldrig stoppede overvågningen. Desuden afslørede en Twitter-tråd fra onsdag, at læsningen af klippebordet fandt sted, hver gang en bruger indtastede et tegnsætningstegn eller trykkede på mellemrumstasten, mens han skrev en kommentar. Det betyder, at læsningen af udklipsholderen kan ske hvert sekund eller deromkring, hvilket er et langt mere aggressivt tempo end dokumenteret i undersøgelsen fra marts, som viste, at overvågningen fandt sted, når appen blev åbnet eller genåbnet.

For at reproducere:
1. Hav noget på dit udklipsholder. F.eks. kopier noget tekst fra Notes eller et websted
2. Åbn TikTok, og begynd at skrive i et vilkårligt tekstfelt
3. Du lærer fra iOS 14 beta hver gang en app “indsætter” – men i dette tilfælde anmodede jeg ikke om det, og ingen af den tekst vises i UI

– Jeremy Burge (@jeremyburge) June 24, 2020

I en erklæring skrev TikTok-repræsentanterne:

I forlængelse af betaversionen af iOS14 den 22. juni så brugerne notifikationer, mens de brugte en række populære apps. For TikTok blev dette udløst af en funktion, der er designet til at identificere gentagende, spammy adfærd. Vi har allerede indsendt en opdateret version af appen til App Store, hvor vi har fjernet antispam-funktionen for at fjerne enhver potentiel forvirring.

TikTok er forpligtet til at beskytte brugernes privatliv og være gennemsigtig med hensyn til, hvordan vores app fungerer. Vi ser frem til at byde eksterne eksperter velkommen til vores gennemsigtighedscenter senere i år.

På baggrund heraf sagde en talsmand, at TikTok til Android aldrig har implementeret antispam-funktionen.

Jeg sendte opfølgende spørgsmål, hvor jeg spurgte (1) om TikTok-versionen til Android overvågede klippeborde af andre årsager, (2) om der blev uploadet tekst fra enheden fra klippebordet, og (3) hvorfor TikTok ikke fjernede overvågningen som lovet i marts. Talsmanden har endnu ikke svaret. Dette indlæg vil blive opdateret, hvis der senere kommer et svar.

Nu ikke kun TikTok

I alt fandt forskerne, at følgende iOS-apps læste brugernes data fra udklipsholderen, hver gang appen blev åbnet, uden nogen klar grund til at gøre det:

• App Name – BundleID

News

• ABC News – com.abcnews.ABCNews
• Al Jazeera English – ajenglishiphone
• CBC News – ca.cbc.CBCNews
• CBS News – com.H443NM7F8H.CBSNews
• CNBC – com.nbcuni.cnbc.cnbcrtipad
• Fox News – com.foxnews.foxnews
• News Break – com.particlenews.newsbreak
• New York Times – com.nytimes.NYTimes
• NPR – org.npr.nprnews
• ntv Nachrichten – de.n-tv.n-tvmobil
• Reuters – com.thomsonreuters.Reuters
• Russia Today – com.rt.RTNewsEnglish
• Stern Nachrichten – de.grunerundjahr.sternneu
• The Economist – com.economist.lamarr
• The Huffington Post – com.huffingtonpost.HuffingtonPost
• The Wall Street Journal – com.dowjones.WSJ.ipad
• Vice News – com.vice.news.VICE-News

Games

• 8 Ball Pool™ – com.miniclip.8ballpoolmult
• AMAZE!!! – com.amaze.game
• Bejeweled – com.ea.ios.bejeweledskies
• Block Puzzle -Game.BlockPuzzle
• Classic Bejeweled – com.popcap.ios.Bej3
• Classic Bejeweled HD -com.popcap.ios.Bej3HD
• FlipTheGun – com.playgendary.flipgun
• Fruit Ninja – com.halfbrick.FruitNinjaLite
• Golfmasters – com.playgendary.sportmasterstwo
• Letter Soup – com.candywriter.apollo7
• Love Nikki – com.elex.nikki
• My Emma – com.crazylabs.myemma
• Plants vs. Zombies™ Heroes – com.ea.ios.pvzheroes
• Pooking – Billiards City – com.pool.club.billiards.city
• PUBG Mobile – com.tencent.ig
• Tomb of the Mask – com.happymagenta.fromcore
• Tomb of the Mask: Color – com.happymagenta.totm2
• Total Party Kill – com.adventureislands.totalpartykill
• Watermarbling – com.hydro.dipping

Social Networking

• TikTok – com.zhiliaoapp.musically
• ToTalk – totalk.gofeiyu.com
• Tok – com.SimpleDate.Tok
• Truecaller – com.truesoftware.TrueCallerOther
• Viber – com.viber
• Weibo – com.sina.weibo
• Zoosk – com.zoosk.Zoosk

Other

• 10% Happier: Meditation -com.changecollective.tenpercenthappier
• 5-0 Radio Police Scanner – com.smartestapple.50radiofree
• Accuweather – com.yourcompany.TestWithCustomTabs
• AliExpress Shopping App – com.alibaba.iAliexpress
• Bed Bath & Beyond – com.digby.bedbathbeyond
• Dazn – com.dazn.theApp
• Hotels.com – com.hotels.HotelsNearMe
• Hotel Tonight – com.hoteltonight.prod
• Overstock – com.overstock.app
• Pigment – Adult Coloring Book – com.pixite.pigment
• Recolor Coloring Book to Color – com.sumoing.ReColor
• Sky Ticket – de.sky.skyonline
• The Weather Network – com.theweathernetwork.weathereyeiphone

Kort tid efter rapporten blev offentliggjort, 10% Happier: Meditation and Hotel Tonight lovede at stoppe denne adfærd og fulgte hurtigt op. TikTik lovede også at stoppe blev taget i at engagere sig i denne praksis igen. Her er den fulde liste over apps, der havde bremset praksis pr. 30. juni:

Nyheder

• ABC News – com.abcnews.ABCNews
• Al Jazeera English – ajenglishiphone
• CBC News – ca.cbc.CBCNews
• CBS News – com.H443NM7F8H.CBSNews
• ntv Nachrichten – de.n-tv.n-tv.n-tvmobil

Games

• 8 Ball Pool™ – com.miniclip.8ballpoolmult
• AMAZE!!! – com.amaze.game
• Classic Bejeweled – com.popcap.ios.Bej3
• Classic Bejeweled HD – com.popcap.ios.Bej3HD
• Letter Soup – com.candywriter.apollo7
• PUBG Mobile – com.tencent.ig
• Tomb of the Mask – com.happymagenta.fromcore
• Tomb of the Mask: Color – com.happymagenta.totm2

Sociale netværk

• TikTok – com.zhiliaoapp.musically
• Truecaller – com.truesoftware.TrueCallerOther
• Viber – com.viber

Other

• 10% Happier: Meditation -com.changecollective.tenpercenthappier
• 5-0 Radio Police Scanner – com.smartestapple.50radiofree
• Dazn – com.dazn.theApp
• Hotels.com – com.hotels.HotelsNearMe
• Hotel Tonight – com.hoteltonight.prod
• Recolor Coloring Coloring Book to Color – com.sumoing.ReColor

Clipboard reading done right

I nogle tilfælde kan clipboard reading gøre apps meget mere nyttige. UPS iPhone-appen trækker f.eks. tekst fra udklipsholderen, og hvis teksten matcher karakteristikaene for et sporingsnummer, beder appen brugeren om at spore den tilsvarende pakke. Google Chrome henter også tekst, og hvis der er tale om en URL-adresse, beder den brugeren om at gå til den. Pixelmator-fotoeditoren læser kun data, hvis der er tale om et billede. Hvis det er det, beder Pixelmator brugeren om at åbne det med henblik på redigering. I alle tre tilfælde har dataaflæsningen et klart anvendelsesformål og er gennemsigtig.

TikTok og de andre ulovlige apps får derimod adgang til udklipsholderen uden nogen klar grund og uden nogen indikation af, at de gør det. For mange apps er det svært at se nogen legitim grund til adgangen med hensyn til ydeevne eller brugervenlighed. Mysk sagde, at Apple har planer om at kreditere hans og Haj Bakrys forskning som katalysator for den nye meddelelse om udklipsholderen, der er indsat i iOS 14.