En mars, des chercheurs ont découvert un troublant accaparement de la vie privée par plus de quatre douzaines d’apps iOS, dont TikTok, le phénomène de médias sociaux et de partage de vidéos appartenant à la Chine qui a pris Internet d’assaut. Bien que TikTok ait promis de mettre un frein à cette pratique, elle continue d’accéder à certaines des données les plus sensibles des utilisateurs d’Apple, qui peuvent inclure des mots de passe, des adresses de portefeuilles de crypto-monnaies, des liens de réinitialisation de compte et des messages personnels. Trente-deux autres applications identifiées en mars n’ont pas cessé non plus.
L’atteinte à la vie privée résulte de la lecture répétée par les applications de tout texte résidant dans les presse-papiers, que les ordinateurs et autres appareils utilisent pour stocker des données qui ont été coupées ou copiées à partir d’éléments tels que les gestionnaires de mots de passe et les programmes de messagerie. Sans raison claire pour le faire, les chercheurs Talal Haj Bakry et Tommy Mysk ont découvert que les apps ont délibérément appelé une interface de programmation iOS qui récupère le texte des presse-papiers des utilisateurs.
L’espionnage universel
Dans de nombreux cas, la lecture secrète ne se limite pas aux données stockées sur l’appareil local. Dans le cas où l’iPhone ou l’iPad utilise le même identifiant Apple que d’autres appareils Apple et qu’ils se trouvent à environ 3 mètres les uns des autres, tous partagent un presse-papiers universel, ce qui signifie que le contenu peut être copié de l’application d’un appareil et collé dans une application fonctionnant sur un appareil distinct.
Cela laisse ouverte la possibilité qu’une application sur un iPhone lise des données sensibles sur les presse-papiers d’autres appareils connectés. Il pourrait s’agir d’adresses bitcoin, de mots de passe ou de messages électroniques stockés temporairement dans le presse-papiers d’un Mac ou d’un iPad à proximité. Bien qu’elles s’exécutent sur un appareil distinct, les apps iOS peuvent facilement lire les données sensibles stockées sur les autres machines.
« C’est très, très dangereux », a déclaré Mysk dans une interview vendredi, en faisant référence à la lecture indiscriminée des données du presse-papiers par les apps. « Ces applications lisent les presse-papiers, et il n’y a aucune raison de le faire. Une app qui n’a pas de champ de texte à saisir n’a aucune raison de lire le texte du presse-papiers. »
La vidéo ci-dessous démontre la lecture du presse-papiers universel:
De retour dans l’actualité
Alors que Haj Bakry et Mysk ont publié leurs recherches en mars, les apps invasives ont de nouveau fait la une cette semaine avec la version bêta pour développeurs d’iOS 14. Une nouvelle fonctionnalité ajoutée par Apple fournit un avertissement sous forme de bannière chaque fois qu’une application lit le contenu du presse-papiers. Lorsqu’un grand nombre de personnes ont commencé à tester la version bêta, elles ont rapidement pris conscience du nombre d’apps qui se livrent à cette pratique et de la fréquence à laquelle elles le font.
Cette vidéo YouTube, qui a cumulé plus de 87 000 vues depuis sa publication mardi, montre un petit échantillon des apps qui déclenchent le nouvel avertissement.
TikTok sous les feux de la rampe
Les récents gros titres ont porté une attention particulière à TikTok, en grande partie en raison de sa base massive d’utilisateurs actifs (qui serait de 800 millions, avec une estimation de 104 millions d’installations iOS au cours du seul premier semestre 2018, ce qui en fait l’application la plus téléchargée pour cette période).
L’espionnage continu de TikTok a fait l’objet d’un examen supplémentaire pour d’autres raisons. Lorsqu’il a été interpellé en mars, le fournisseur de partage de vidéos a déclaré à la publication britannique The Telegraph qu’il mettrait fin à cette pratique dans les semaines à venir. Mysk a déclaré que l’application n’avait jamais cessé de surveiller les utilisateurs. En outre, un fil Twitter publié mercredi a révélé que la lecture du presse-papiers se produisait chaque fois qu’un utilisateur saisissait un signe de ponctuation ou appuyait sur la barre d’espacement pendant la rédaction d’un commentaire. Cela signifie que la lecture du presse-papiers peut se produire toutes les secondes environ, un rythme beaucoup plus agressif que celui documenté dans la recherche de mars, qui a constaté que la surveillance se produisait lorsque l’application était ouverte ou rouverte.
Pour reproduire:
1. Ayez quelque chose sur votre presse-papiers. Ex : copiez du texte de Notes ou d’un site web
2. Ouvrez TikTok et commencez à taper dans n’importe quel champ de texte
3. Vous apprenez de la bêta d’iOS 14 chaque fois qu’une application « colle » – mais dans ce cas, je ne l’ai pas demandé, et aucun de ce texte n’apparaît dans l’interface utilisateur– Jeremy Burge (@jeremyburge) 24 juin 2020
Dans une déclaration, les représentants de TikTok ont écrit:
Suite à la sortie de la bêta d’iOS14 le 22 juin, les utilisateurs ont vu des notifications tout en utilisant un certain nombre d’applications populaires. Pour TikTok, cela a été déclenché par une fonctionnalité conçue pour identifier les comportements répétitifs et spammy. Nous avons déjà soumis une version mise à jour de l’application à l’App Store en supprimant la fonctionnalité anti-spam pour éliminer toute confusion potentielle.
TikTok s’engage à protéger la vie privée des utilisateurs et à être transparent sur le fonctionnement de notre application. Nous sommes impatients d’accueillir des experts externes dans notre centre de transparence plus tard cette année.
En arrière-plan, un porte-parole a déclaré que TikTok pour Android n’a jamais mis en œuvre la fonctionnalité anti-spam.
J’ai envoyé des questions de suivi demandant (1) si la version TikTok pour Android surveillait les presse-papiers pour une autre raison, (2) si un texte du presse-papiers était téléchargé à partir de l’appareil et (3) pourquoi TikTok n’a pas supprimé la surveillance comme promis en mars. Le porte-parole n’a pas encore répondu. Ce post sera mis à jour si une réponse arrive plus tard.
Pas seulement TikTok
Au total, les chercheurs ont constaté que les applications iOS suivantes lisaient les données du presse-papiers des utilisateurs chaque fois que l’application était ouverte, sans raison claire de le faire:
- Nom de l’application – BundleID
News
- ABC News – com.abcnews.ABCNews
- Al Jazeera English – ajenglishiphone
- CBC News – ca.cbc.CBCNews
- CBS News – com.H443NM7F8H.CBSNews
- CNBC – com.nbcuni.cnbc.cnbcrtipad
- Fox News – com.foxnews.foxnews
- News Break – com.particlenews.newsbreak
- New York Times – com.nytimes.NYTimes
- NPR – org.npr.nprnews
- ntv Nachrichten – de.n-tv.n-tvmobil
- Reuters – com.thomsonreuters.Reuters
- Russia Today – com.rt.RTNewsEnglish
- Stern Nachrichten – de.grunerundjahr.sternneu
- The Economist – com.economist.lamarr
- The Huffington Post – com.huffingtonpost.HuffingtonPost
- The Wall Street Journal – com.dowjones.WSJ.ipad
- Vice News – com.vice.news.VICE-News
Jeux
- 8 Ball Pool™ – com.miniclip.8ballpoolmult
- AMAZE !!! – com.amaze.game
- Bejeweled – com.ea.ios.bejeweledskies
- Block Puzzle -Game.BlockPuzzle
- Classic Bejeweled – com.popcap.ios.Bej3
- Classic Bejeweled HD -com.popcap.ios.Bej3HD
- FlipTheGun – com.playgendary.flipgun
- Fruit Ninja – com.halfbrick.FruitNinjaLite
- Golfmasters – com.playgendary.sportmasterstwo
- Soupe aux lettres – com.candywriter.apollo7
- Love Nikki – com.elex.nikki
- Ma Emma – com.crazylabs.myemma
- Plants vs. Zombies™ Heroes – com.ea.ios.pvzheroes
- Pooking – Billiards City – com.pool.club.billiards.city
- PUBG Mobile – com.tencent.ig
- Tomb of the Mask – com.happymagenta.fromcore
- Tomb of the Mask : Color – com.happymagenta.totm2
- Total Party Kill – com.adventureislands.totalpartykill
- Watermarbling – com.hydro.dipping
Social Networking
- TikTok – com.zhiliaoapp.musically
- ToTalk – totalk.gofeiyu.com
- Tok – com.SimpleDate.Tok
- Truecaller – com.truesoftware.TrueCallerOther
- Viber – com.viber
- Weibo – com.sina.weibo
- Zoosk – com.zoosk.Zoosk
Autres
- 10% Happier : Méditation -com.changecollective.tenpercenthappier
- Scanneur de police radio 5-0 – com.smartestapple.50radiofree
- Accuweather – com.yourcompany.TestWithCustomTabs
- AliExpress Shopping App – com.alibaba.iAliexpress
- Bed Bath & Beyond – com.digby.bedbathbeyond
- Dazn – com.dazn.theApp
- Hotels.com – com.hotels.HotelsNearMe
- Hotel Tonight – com.hoteltonight.prod
- Overstock – com.overstock.app
- Pigment – Adult Coloring Book – com.pixite.pigment
- Recolor Coloring Book to Color – com.sumoing.ReColor
- Sky Ticket – de.sky.skyonline
- The Weather Network – com.theweathernetwork.weathereyeiphone
Peu après la publication du rapport, 10% Happier : Meditation and Hotel Tonight a promis de mettre fin à ce comportement et s’est rapidement exécuté. TikTik a également promis d’arrêter a été attrapé s’engageant à nouveau dans la pratique. Voici la liste complète des apps qui avaient mis un frein à cette pratique au 30 juin :
News
- ABC News – com.abcnews.ABCNews
- Al Jazeera English – ajenglishiphone
- CBC News – ca.cbc.CBCNews
- CBS News – com.H443NM7F8H.CBSNews
- ntv Nachrichten – de.n-tv.n-tvmobil
Games
- 8 Ball Pool™ – com.miniclip.8ballpoolmult
- AMAZE !!! – com.amaze.game
- Classic Bejeweled – com.popcap.ios.Bej3
- Classic Bejeweled HD – com.popcap.ios.Bej3HD
- Soupe aux lettres – com.candywriter.apollo7
- PUBG Mobile – com.tencent.ig
- Tomb of the Mask – com.happymagenta.fromcore
- Tomb of the Mask : Color – com.happymagenta.totm2
Réseaux sociaux
- TikTok – com.zhiliaoapp.musically
- Truecaller – com.truesoftware.TrueCallerOther
- Viber – com.viber
Autres
- 10% Happier : Méditation -com.changecollective.tenpercenthappier
- Scanner de police radio 5-0 – com.smartestapple.50radiofree
- Dazn – com.dazn.theApp
- Hotels.com – com.hotels.HotelsNearMe
- Hotel Tonight – com.hoteltonight.prod
- Recolor Livre de coloriage à colorier – com.sumoing.ReColor
Lecture de presse-papiers bien faite
Dans certains cas, la lecture de presse-papiers peut rendre les applications beaucoup plus utiles. L’application iPhone UPS, par exemple, extrait du texte du presse-papiers et, dans le cas où le texte correspond aux caractéristiques d’un numéro de suivi, l’application invite l’utilisateur à suivre le colis correspondant. Google Chrome extrait également du texte et, s’il s’agit d’une URL, invite l’utilisateur à y accéder. L’éditeur de photos Pixelmator lit les données uniquement s’il s’agit d’une image. Si c’est le cas, Pixelmator invite l’utilisateur à l’ouvrir pour la modifier. Dans ces trois cas, la lecture des données a un cas d’utilisation clair et est transparente.
TikTok et les autres apps incriminées, en revanche, accèdent au presse-papiers sans raison claire et sans indication qu’ils le font. Pour de nombreuses apps, il est difficile de voir une raison légitime de performance ou de convivialité pour cet accès. Mysk a déclaré qu’Apple prévoit de créditer ses recherches et celles de Haj Bakry comme catalyseur de la nouvelle notification du presse-papiers mise dans iOS 14.
La lecture du presse-papiers rapportée par Haj Bakry et Mysk soulève des préoccupations qui s’étendent probablement à ceux qui utilisent Android et peut-être d’autres systèmes d’exploitation. Mysk a déclaré que la lecture du presse-papiers dans les applications Android est « encore pire » que dans iOS parce que les API du système d’exploitation sont tellement plus indulgentes. Jusqu’à la version 10, par exemple, Android permettait aux apps fonctionnant en arrière-plan de lire le presse-papiers. Les apps iOS, en revanche, ne peuvent lire ou interroger les presse-papiers que lorsqu’elles sont actives (c’est-à-dire lorsqu’elles fonctionnent au premier plan).
Mysk a déclaré que la fonctionnalité de notification d’Apple est un bon début mais, en fin de compte, Apple et Google devraient faire plus. Une possibilité est de faire de l’accès au presse-papiers une permission standard, tout comme l’accès à un micro ou à une caméra l’est maintenant. Une autre possibilité est d’exiger des développeurs d’apps qu’ils divulguent précisément les données du presse-papiers auxquelles ils accèdent et ce que l’app en fait.
Pour l’instant, les utilisateurs doivent rester conscients que toutes les données stockées dans le presse-papiers – même si elles sont discrètes à l’œil nu – peuvent être régulièrement consultées par des apps qui, dans de nombreux cas, ne sont même pas installées localement sur l’appareil. En cas de doute, videz les données du presse-papiers en copiant un caractère, un mot ou tout autre élément de données inoffensif.