Márciusban a kutatók több mint négy tucat iOS-alkalmazás, köztük a TikTok, a kínai tulajdonú közösségi média és videómegosztó jelenség, amely az internetet viharvert, aggasztó adatvédelmi fogást fedeztek fel. Annak ellenére, hogy a TikTok megfogadta, hogy megfékezi ezt a gyakorlatot, továbbra is hozzáfér az Apple-felhasználók legérzékenyebb adataihoz, amelyek között jelszavak, kriptopénz-tárcák címei, fiók-visszaállítási linkek és személyes üzenetek is lehetnek. Egy másik, márciusban azonosított 32 alkalmazás sem hagyta abba.

A magánélet megsértése annak az eredménye, hogy az alkalmazások ismételten elolvasnak minden olyan szöveget, amely történetesen a vágólapokon található, amelyeket a számítógépek és más eszközök olyan adatok tárolására használnak, amelyeket olyan dolgokból vágtak vagy másoltak ki, mint a jelszókezelők és az e-mail programok. Talal Haj Bakry és Tommy Mysk kutatók Talal Haj Bakry és Tommy Mysk megállapítása szerint egyértelmű ok nélkül az alkalmazások szándékosan hívtak meg egy iOS programozási felületet, amely a felhasználók vágólapjairól hívja le a szöveget.

Univerzális szimatolás

A titkos olvasás sok esetben nem korlátozódik a helyi eszközön tárolt adatokra. Abban az esetben, ha az iPhone vagy iPad ugyanazt az Apple ID-t használja, mint más Apple-eszközök, és nagyjából 3 méteres távolságon belül vannak, mindegyikük osztozik az univerzális vágólapon, ami azt jelenti, hogy az egyik eszköz alkalmazásából kimásolható a tartalom, és beilleszthető egy másik eszközön futó alkalmazásba.

Ez nyitva hagyja annak lehetőségét, hogy egy iPhone-on lévő alkalmazás más csatlakoztatott eszközök vágólapjain lévő érzékeny adatokat olvasson. Ilyen lehet például egy közeli Mac vagy iPad vágólapján ideiglenesen tárolt bitcoin-címek, jelszavak vagy e-mail üzenetek. Annak ellenére, hogy az iOS-alkalmazások külön eszközön futnak, könnyen kiolvashatják a többi gépen tárolt érzékeny adatokat.”

Tovább

“Ez nagyon, nagyon veszélyes” – mondta Mysk egy pénteki interjúban, utalva arra, hogy az alkalmazások válogatás nélkül olvassák a vágólap adatait. “Ezek az alkalmazások vágólapokat olvasnak, és erre semmi okuk nincs. Egy olyan alkalmazásnak, amelynek nincs szövegmezője a szöveg bevitelére, nincs oka arra, hogy a vágólap szövegét olvassa.”

Az alábbi videó bemutatja az univerzális vágólap olvasását:

Újra a hírekben

Míg Haj Bakry és Mysk márciusban publikálták kutatásukat, az iOS 14 fejlesztői bétaverziójának kiadásával a héten ismét címlapokra kerültek az invazív alkalmazások. Az Apple által hozzáadott új funkció minden alkalommal, amikor egy alkalmazás beolvassa a vágólap tartalmát, banneres figyelmeztetést ad. Ahogy nagy számban kezdték tesztelni a bétaverziót, gyorsan kiderült, hogy milyen sok alkalmazás alkalmazza ezt a gyakorlatot, és milyen gyakran teszi ezt.

Ez a YouTube-videó, amely keddi közzététele óta több mint 87 000 megtekintést ért el, az új figyelmeztetést kiváltó alkalmazások egy kis mintáját mutatja be.

TikTok a figyelem középpontjában

A közelmúltban megjelent címlapok különös figyelmet szenteltek a TikTok-nak, nagyrészt a hatalmas aktív felhasználói bázisa miatt (a jelentések szerint 800 millióan használják, és csak 2018 első felében 104 millió iOS-telepítés történt, ami az adott időszak legtöbbet letöltött alkalmazásává teszi).

A TikTok folyamatos szimatolása más okokból is extra figyelmet kapott. Amikor márciusban felszólították, a videómegosztó szolgáltató azt mondta a The Telegraph című brit kiadványnak, hogy a következő hetekben véget vet a gyakorlatnak. A Mysk szerint az alkalmazás sosem hagyta abba a megfigyelést. Mi több, egy szerdai Twitter-szálból kiderült, hogy a vágólapról való leolvasás minden alkalommal megtörtént, amikor egy felhasználó írásjelet írt be, vagy megérintette a szóköz billentyűt egy hozzászólás megírása közben. Ez azt jelenti, hogy a vágólap olvasása körülbelül másodpercenként történhetett, ami sokkal agresszívabb ütem, mint amit a márciusi kutatás dokumentált, amely szerint a megfigyelés akkor történt, amikor az alkalmazást megnyitották vagy újra megnyitották.

A reprodukáláshoz:
1. Van valami a vágólapon. Pl. másolj be egy szöveget a jegyzetekből vagy egy weboldalról
2. Nyisd meg a TikTokot, és kezdj el gépelni egy tetszőleges szövegmezőbe
3. Az iOS 14 bétáról minden alkalommal értesülsz, amikor egy alkalmazás “beilleszt” – de ebben az esetben nem kértem, és egyik szöveg sem jelenik meg a felhasználói felületen

– Jeremy Burge (@jeremyburge) June 24, 2020

A TikTok képviselői közleményükben azt írták:

Az iOS14 június 22-i béta kiadását követően a felhasználók számos népszerű alkalmazás használata közben értesítéseket láttak. A TikTok esetében ezt egy olyan funkció váltotta ki, amelynek célja az ismétlődő, spamszerű viselkedés azonosítása volt. Már benyújtottuk az alkalmazás frissített verzióját az App Store-ba, amelyből eltávolítottuk a spamellenes funkciót, hogy kiküszöböljük az esetleges félreértéseket.

A TikTok elkötelezett a felhasználók adatainak védelme és az alkalmazásunk működésének átláthatósága mellett. Várjuk, hogy még ebben az évben külső szakértőket fogadhassunk az Átláthatósági Központunkban.

A háttérben egy szóvivő azt mondta, hogy a TikTok for Android soha nem vezette be a spamellenes funkciót.

Következtető kérdéseket küldtem, amelyekben (1) azt kérdeztem, hogy a TikTok for Android verziója más okból figyelte-e a vágólapokat, (2) feltöltött-e bármilyen vágólap-szöveget az eszközről, és (3) miért nem távolította el a TikTok a megfigyelést, ahogy márciusban ígérte. A szóvivő még nem válaszolt. Ezt a bejegyzést frissítjük, ha később érkezik válasz.

Nem csak a TikTok

A kutatók összesen a következő iOS-alkalmazásokat találták, amelyek minden alkalommal, amikor az alkalmazást megnyitották, egyértelmű ok nélkül olvasták a felhasználók vágólapjának adatait:

• Alkalmazás neve – BundleID

Hírek

• ABC News – com.abcnews.ABCNews
• Al Jazeera English – ajenglishiphone
• CBC News – ca.cbc.CBCNews
• CBS News – com.H443NM7F8H.CBSNews
• CNBC – com.nbcuni.cnbc.cnbcrtipad
• Fox News – com.foxnews.foxnews
• News Break – com.particlenews.newsbreak
• New York Times – com.nytimes.NYTimes
• NPR – org.npr.nprnews
• ntv Nachrichten – de.n-tv.n-tvmobil
• Reuters – com.thomsonreuters.Reuters
• Russia Today – com.rt.RTNewsEnglish
• Stern Nachrichten – de.grunerundjahr.sternneu
• The Economist – com.economist.lamarr
• The Huffington Post – com.huffingtonpost.HuffingtonPost
• The Wall Street Journal – com.dowjones.WSJ.ipad
• Vice News – com.vice.news.VICE-News

Games

• 8 Ball Pool ™ – com.miniclip.8ballpoolmult
• AMAZE!!! – com.amaze.game
• Bejeweled – com.ea.ios.bejeweledskies
• Block Puzzle -Game.BlockPuzzle
• Classic Bejeweled – com.popcap.ios.Bej3
• Classic Bejeweled HD -com.popcap.ios.Bej3HD
• FlipTheGun – com.playgendary.flipgun
• Fruit Ninja – com.halfbrick.FruitNinjaLite
• Golfmasters – com.playgendary.sportmasterstwo
• Letter Soup – com.candywriter.apollo7
• Love Nikki – com.elex.nikki
• My Emma – com.crazylabs.myemma
• Plants vs. Zombies™ Heroes – com.ea.ios.pvzheroes
• Pooking – Billiards City – com.pool.club.billiards.city
• PUBG Mobile – com.tencent.ig
• Tomb of the Mask – com.happymagenta.fromcore
• Tomb of the Mask: Color – com.happymagenta.totm2
• Total Party Kill – com.adventureislands.totalpartykill
• Watermarbling – com.hydro.dipping

Social Networking

• TikTok – com.zhiliaoapp.musically
• ToTalk – totalk.gofeiyu.com
• Tok – com.SimpleDate.Tok
• Truecaller – com.truesoftware.TrueCallerOther
• Viber – com.viber
• Weibo – com.sina.weibo
• Zoosk – com.zoosk.Zoosk

Más

• 10% Happier: Meditáció -com.changecollective.tenpercenthappier
• 5-0 Rádiós rendőrségi szkenner – com.smartestapple.50radiofree
• Accuweather – com.yourcompany.TestWithCustomTabs
• AliExpress Shopping App – com.alibaba.iAliexpress
• Bed Bath & Beyond – com.digby.bedbathbeyond
• Dazn – com.dazn.theApp
• Hotels.com – com.hotels.HotelsNearMe
• Hotel Tonight – com.hoteltonight.prod
• Overstock – com.overstock.app
• Pigment – Adult Coloring Book – com.pixite.pigment
• Recolor Coloring Book to Color – com.sumoing.ReColor
• Sky Ticket – de.sky.skyonline
• The Weather Network – com.theweathernetwork.weathereyeiphone

Röviddel a jelentés megjelenése után a 10% Happier: Meditáció és a Hotel Tonight megígérte, hogy véget vet a viselkedésnek, és ezt gyorsan be is tartotta. TikTik is megígérte, hogy abbahagyja rajtakapták, hogy újra részt vesz a gyakorlatban. Íme a teljes lista azokról az alkalmazásokról, amelyek június 30-ig visszaszorították a gyakorlatot:

Hírek

• ABC News – com.abcnews.ABCNews
• Al Jazeera English – ajenglishiphone
• CBC News – ca.cbc.CBCNews
• CBS News – com.H443NM7F8H.CBSNews
• ntv Nachrichten – de.n-tv.n-tvmobil

Games

• 8 Ball Pool™ – com.miniclip.8ballpoolmult
• AMAZE!!! – com.amaze.game
• Classic Bejeweled – com.popcap.ios.Bej3
• Classic Bejeweled HD – com.popcap.ios.Bej3HD
• Letter Soup – com.candywriter.apollo7
• PUBG Mobile – com.tencent.ig
• Tomb of the Mask – com.happymagenta.fromcore
• Tomb of the Mask: Color – com.happymagenta.totm2

Social Networking

• TikTok – com.zhiliaoapp.musically
• Truecaller – com.truesoftware.TrueCallerOther
• Viber – com.viber

Other

• 10% Happier: Meditáció -com.changecollective.tenpercenthappier
• 5-0 Rádiós rendőrségi szkenner – com.smartestapple.50radiofree
• Dazn – com.dazn.theApp
• Hotels.com – com.hotels.HotelsNearMe
• Hotel Tonight – com.hoteltonight.prod
• Recolor Coloring Book to Color – com.sumoing.ReColor

Clipboard reading done right

A clipboard reading bizonyos esetekben sokkal hasznosabbá teheti az alkalmazásokat. A UPS iPhone-alkalmazás például szöveget húz a vágólapról, és amennyiben a szöveg megegyezik egy nyomon követési szám jellemzőivel, az alkalmazás felkéri a felhasználót a megfelelő csomag nyomon követésére. A Google Chrome szintén kinyeri a szöveget, és amennyiben az egy URL-cím, arra kéri a felhasználót, hogy keresse meg azt. A Pixelmator képszerkesztő csak akkor olvassa be az adatokat, ha az egy kép. Ha az, akkor a Pixelmator felszólítja a felhasználót, hogy nyissa meg szerkesztésre. Mindhárom esetben az adatolvasásnak egyértelmű felhasználási oka van, és átlátható.

A TikTok és a többi jogsértő alkalmazás ezzel szemben egyértelmű ok nélkül és mindenféle jelzés nélkül hozzáfér a vágólaphoz. Sok alkalmazás esetében nehéz belátni, hogy a hozzáférésnek bármilyen legitim teljesítmény- vagy használhatósági oka van. Mysk elmondta, hogy az Apple azt tervezi, hogy az ő és Haj Bakry kutatását tekinti katalizátornak az iOS 14-be helyezett új vágólap-értesítéshez.