Márciusban a kutatók több mint négy tucat iOS-alkalmazás, köztük a TikTok, a kínai tulajdonú közösségi média és videómegosztó jelenség, amely az internetet viharvert, aggasztó adatvédelmi fogást fedeztek fel. Annak ellenére, hogy a TikTok megfogadta, hogy megfékezi ezt a gyakorlatot, továbbra is hozzáfér az Apple-felhasználók legérzékenyebb adataihoz, amelyek között jelszavak, kriptopénz-tárcák címei, fiók-visszaállítási linkek és személyes üzenetek is lehetnek. Egy másik, márciusban azonosított 32 alkalmazás sem hagyta abba.
A magánélet megsértése annak az eredménye, hogy az alkalmazások ismételten elolvasnak minden olyan szöveget, amely történetesen a vágólapokon található, amelyeket a számítógépek és más eszközök olyan adatok tárolására használnak, amelyeket olyan dolgokból vágtak vagy másoltak ki, mint a jelszókezelők és az e-mail programok. Talal Haj Bakry és Tommy Mysk kutatók Talal Haj Bakry és Tommy Mysk megállapítása szerint egyértelmű ok nélkül az alkalmazások szándékosan hívtak meg egy iOS programozási felületet, amely a felhasználók vágólapjairól hívja le a szöveget.
Univerzális szimatolás
A titkos olvasás sok esetben nem korlátozódik a helyi eszközön tárolt adatokra. Abban az esetben, ha az iPhone vagy iPad ugyanazt az Apple ID-t használja, mint más Apple-eszközök, és nagyjából 3 méteres távolságon belül vannak, mindegyikük osztozik az univerzális vágólapon, ami azt jelenti, hogy az egyik eszköz alkalmazásából kimásolható a tartalom, és beilleszthető egy másik eszközön futó alkalmazásba.
Ez nyitva hagyja annak lehetőségét, hogy egy iPhone-on lévő alkalmazás más csatlakoztatott eszközök vágólapjain lévő érzékeny adatokat olvasson. Ilyen lehet például egy közeli Mac vagy iPad vágólapján ideiglenesen tárolt bitcoin-címek, jelszavak vagy e-mail üzenetek. Annak ellenére, hogy az iOS-alkalmazások külön eszközön futnak, könnyen kiolvashatják a többi gépen tárolt érzékeny adatokat.”
“Ez nagyon, nagyon veszélyes” – mondta Mysk egy pénteki interjúban, utalva arra, hogy az alkalmazások válogatás nélkül olvassák a vágólap adatait. “Ezek az alkalmazások vágólapokat olvasnak, és erre semmi okuk nincs. Egy olyan alkalmazásnak, amelynek nincs szövegmezője a szöveg bevitelére, nincs oka arra, hogy a vágólap szövegét olvassa.”
Az alábbi videó bemutatja az univerzális vágólap olvasását:
Újra a hírekben
Míg Haj Bakry és Mysk márciusban publikálták kutatásukat, az iOS 14 fejlesztői bétaverziójának kiadásával a héten ismét címlapokra kerültek az invazív alkalmazások. Az Apple által hozzáadott új funkció minden alkalommal, amikor egy alkalmazás beolvassa a vágólap tartalmát, banneres figyelmeztetést ad. Ahogy nagy számban kezdték tesztelni a bétaverziót, gyorsan kiderült, hogy milyen sok alkalmazás alkalmazza ezt a gyakorlatot, és milyen gyakran teszi ezt.
Ez a YouTube-videó, amely keddi közzététele óta több mint 87 000 megtekintést ért el, az új figyelmeztetést kiváltó alkalmazások egy kis mintáját mutatja be.
TikTok a figyelem középpontjában
A közelmúltban megjelent címlapok különös figyelmet szenteltek a TikTok-nak, nagyrészt a hatalmas aktív felhasználói bázisa miatt (a jelentések szerint 800 millióan használják, és csak 2018 első felében 104 millió iOS-telepítés történt, ami az adott időszak legtöbbet letöltött alkalmazásává teszi).
A TikTok folyamatos szimatolása más okokból is extra figyelmet kapott. Amikor márciusban felszólították, a videómegosztó szolgáltató azt mondta a The Telegraph című brit kiadványnak, hogy a következő hetekben véget vet a gyakorlatnak. A Mysk szerint az alkalmazás sosem hagyta abba a megfigyelést. Mi több, egy szerdai Twitter-szálból kiderült, hogy a vágólapról való leolvasás minden alkalommal megtörtént, amikor egy felhasználó írásjelet írt be, vagy megérintette a szóköz billentyűt egy hozzászólás megírása közben. Ez azt jelenti, hogy a vágólap olvasása körülbelül másodpercenként történhetett, ami sokkal agresszívabb ütem, mint amit a márciusi kutatás dokumentált, amely szerint a megfigyelés akkor történt, amikor az alkalmazást megnyitották vagy újra megnyitották.
A reprodukáláshoz:
1. Van valami a vágólapon. Pl. másolj be egy szöveget a jegyzetekből vagy egy weboldalról
2. Nyisd meg a TikTokot, és kezdj el gépelni egy tetszőleges szövegmezőbe
3. Az iOS 14 bétáról minden alkalommal értesülsz, amikor egy alkalmazás “beilleszt” – de ebben az esetben nem kértem, és egyik szöveg sem jelenik meg a felhasználói felületen– Jeremy Burge (@jeremyburge) June 24, 2020
A TikTok képviselői közleményükben azt írták:
Az iOS14 június 22-i béta kiadását követően a felhasználók számos népszerű alkalmazás használata közben értesítéseket láttak. A TikTok esetében ezt egy olyan funkció váltotta ki, amelynek célja az ismétlődő, spamszerű viselkedés azonosítása volt. Már benyújtottuk az alkalmazás frissített verzióját az App Store-ba, amelyből eltávolítottuk a spamellenes funkciót, hogy kiküszöböljük az esetleges félreértéseket.
A TikTok elkötelezett a felhasználók adatainak védelme és az alkalmazásunk működésének átláthatósága mellett. Várjuk, hogy még ebben az évben külső szakértőket fogadhassunk az Átláthatósági Központunkban.
A háttérben egy szóvivő azt mondta, hogy a TikTok for Android soha nem vezette be a spamellenes funkciót.
Következtető kérdéseket küldtem, amelyekben (1) azt kérdeztem, hogy a TikTok for Android verziója más okból figyelte-e a vágólapokat, (2) feltöltött-e bármilyen vágólap-szöveget az eszközről, és (3) miért nem távolította el a TikTok a megfigyelést, ahogy márciusban ígérte. A szóvivő még nem válaszolt. Ezt a bejegyzést frissítjük, ha később érkezik válasz.
Nem csak a TikTok
A kutatók összesen a következő iOS-alkalmazásokat találták, amelyek minden alkalommal, amikor az alkalmazást megnyitották, egyértelmű ok nélkül olvasták a felhasználók vágólapjának adatait:
- Alkalmazás neve – BundleID
Hírek
- ABC News – com.abcnews.ABCNews
- Al Jazeera English – ajenglishiphone
- CBC News – ca.cbc.CBCNews
- CBS News – com.H443NM7F8H.CBSNews
- CNBC – com.nbcuni.cnbc.cnbcrtipad
- Fox News – com.foxnews.foxnews
- News Break – com.particlenews.newsbreak
- New York Times – com.nytimes.NYTimes
- NPR – org.npr.nprnews
- ntv Nachrichten – de.n-tv.n-tvmobil
- Reuters – com.thomsonreuters.Reuters
- Russia Today – com.rt.RTNewsEnglish
- Stern Nachrichten – de.grunerundjahr.sternneu
- The Economist – com.economist.lamarr
- The Huffington Post – com.huffingtonpost.HuffingtonPost
- The Wall Street Journal – com.dowjones.WSJ.ipad
- Vice News – com.vice.news.VICE-News
Games
- 8 Ball Pool ™ – com.miniclip.8ballpoolmult
- AMAZE!!! – com.amaze.game
- Bejeweled – com.ea.ios.bejeweledskies
- Block Puzzle -Game.BlockPuzzle
- Classic Bejeweled – com.popcap.ios.Bej3
- Classic Bejeweled HD -com.popcap.ios.Bej3HD
- FlipTheGun – com.playgendary.flipgun
- Fruit Ninja – com.halfbrick.FruitNinjaLite
- Golfmasters – com.playgendary.sportmasterstwo
- Letter Soup – com.candywriter.apollo7
- Love Nikki – com.elex.nikki
- My Emma – com.crazylabs.myemma
- Plants vs. Zombies™ Heroes – com.ea.ios.pvzheroes
- Pooking – Billiards City – com.pool.club.billiards.city
- PUBG Mobile – com.tencent.ig
- Tomb of the Mask – com.happymagenta.fromcore
- Tomb of the Mask: Color – com.happymagenta.totm2
- Total Party Kill – com.adventureislands.totalpartykill
- Watermarbling – com.hydro.dipping
Social Networking
- TikTok – com.zhiliaoapp.musically
- ToTalk – totalk.gofeiyu.com
- Tok – com.SimpleDate.Tok
- Truecaller – com.truesoftware.TrueCallerOther
- Viber – com.viber
- Weibo – com.sina.weibo
- Zoosk – com.zoosk.Zoosk
Más
- 10% Happier: Meditáció -com.changecollective.tenpercenthappier
- 5-0 Rádiós rendőrségi szkenner – com.smartestapple.50radiofree
- Accuweather – com.yourcompany.TestWithCustomTabs
- AliExpress Shopping App – com.alibaba.iAliexpress
- Bed Bath & Beyond – com.digby.bedbathbeyond
- Dazn – com.dazn.theApp
- Hotels.com – com.hotels.HotelsNearMe
- Hotel Tonight – com.hoteltonight.prod
- Overstock – com.overstock.app
- Pigment – Adult Coloring Book – com.pixite.pigment
- Recolor Coloring Book to Color – com.sumoing.ReColor
- Sky Ticket – de.sky.skyonline
- The Weather Network – com.theweathernetwork.weathereyeiphone
Röviddel a jelentés megjelenése után a 10% Happier: Meditáció és a Hotel Tonight megígérte, hogy véget vet a viselkedésnek, és ezt gyorsan be is tartotta. TikTik is megígérte, hogy abbahagyja rajtakapták, hogy újra részt vesz a gyakorlatban. Íme a teljes lista azokról az alkalmazásokról, amelyek június 30-ig visszaszorították a gyakorlatot:
Hírek
- ABC News – com.abcnews.ABCNews
- Al Jazeera English – ajenglishiphone
- CBC News – ca.cbc.CBCNews
- CBS News – com.H443NM7F8H.CBSNews
- ntv Nachrichten – de.n-tv.n-tvmobil
Games
- 8 Ball Pool™ – com.miniclip.8ballpoolmult
- AMAZE!!! – com.amaze.game
- Classic Bejeweled – com.popcap.ios.Bej3
- Classic Bejeweled HD – com.popcap.ios.Bej3HD
- Letter Soup – com.candywriter.apollo7
- PUBG Mobile – com.tencent.ig
- Tomb of the Mask – com.happymagenta.fromcore
- Tomb of the Mask: Color – com.happymagenta.totm2
Social Networking
- TikTok – com.zhiliaoapp.musically
- Truecaller – com.truesoftware.TrueCallerOther
- Viber – com.viber
Other
- 10% Happier: Meditáció -com.changecollective.tenpercenthappier
- 5-0 Rádiós rendőrségi szkenner – com.smartestapple.50radiofree
- Dazn – com.dazn.theApp
- Hotels.com – com.hotels.HotelsNearMe
- Hotel Tonight – com.hoteltonight.prod
- Recolor Coloring Book to Color – com.sumoing.ReColor
Clipboard reading done right
A clipboard reading bizonyos esetekben sokkal hasznosabbá teheti az alkalmazásokat. A UPS iPhone-alkalmazás például szöveget húz a vágólapról, és amennyiben a szöveg megegyezik egy nyomon követési szám jellemzőivel, az alkalmazás felkéri a felhasználót a megfelelő csomag nyomon követésére. A Google Chrome szintén kinyeri a szöveget, és amennyiben az egy URL-cím, arra kéri a felhasználót, hogy keresse meg azt. A Pixelmator képszerkesztő csak akkor olvassa be az adatokat, ha az egy kép. Ha az, akkor a Pixelmator felszólítja a felhasználót, hogy nyissa meg szerkesztésre. Mindhárom esetben az adatolvasásnak egyértelmű felhasználási oka van, és átlátható.
A TikTok és a többi jogsértő alkalmazás ezzel szemben egyértelmű ok nélkül és mindenféle jelzés nélkül hozzáfér a vágólaphoz. Sok alkalmazás esetében nehéz belátni, hogy a hozzáférésnek bármilyen legitim teljesítmény- vagy használhatósági oka van. Mysk elmondta, hogy az Apple azt tervezi, hogy az ő és Haj Bakry kutatását tekinti katalizátornak az iOS 14-be helyezett új vágólap-értesítéshez.
A Haj Bakry és Mysk által jelentett vágólapolvasás aggodalmakat vet fel, amelyek valószínűleg az Androidot és esetleg más operációs rendszereket használókra is kiterjednek. Mysk szerint a vágólapolvasás az Android alkalmazásokban “még rosszabb”, mint az iOS-ben, mivel az operációs rendszer API-jai sokkal engedékenyebbek. A 10-es verzióig például az Android lehetővé tette, hogy a háttérben futó alkalmazások olvassák a vágólapot. Az iOS-alkalmazások ezzel szemben csak akkor olvashatják vagy kérdezhetik le a vágólapot, ha aktívak (azaz előtérben futnak).
Mysk szerint az Apple értesítési funkciója jó kezdet, de végső soron az Apple-nek és a Google-nek többet kellene tennie. Az egyik lehetőség, hogy a vágólaphoz való hozzáférést standard jogosultsággá teszik, ahogyan most a mikrofonhoz vagy a kamerához való hozzáférés is az. Egy másik lehetőség, hogy az alkalmazások fejlesztőitől megkövetelnék, hogy pontosan közzétegyék, milyen vágólap-adatokhoz férnek hozzá, és mit csinál az alkalmazás azokkal.
A felhasználóknak egyelőre tisztában kell lenniük azzal, hogy a vágólapon tárolt adatokhoz – annak ellenére, hogy azok szabad szemmel nem feltűnőek – rendszeresen hozzáférhetnek olyan alkalmazások, amelyek sok esetben még csak nem is vannak helyileg telepítve a készülékre. Ha kétségei vannak, ürítse ki a vágólap adatait egy karakter, szó vagy más ártalmatlan adat másolásával.