A marzo, i ricercatori hanno scoperto una preoccupante presa di privacy da parte di più di quattro dozzine di app iOS tra cui TikTok, il fenomeno di social media e video-sharing di proprietà cinese che ha preso d’assalto Internet. Nonostante TikTok abbia giurato di porre un freno a questa pratica, continua ad accedere ad alcuni dei dati più sensibili degli utenti Apple, che possono includere password, indirizzi di portafogli di criptovalute, link di reset dell’account e messaggi personali. Altre 32 app identificate a marzo non si sono fermate.

L’invasione della privacy è il risultato delle app che leggono ripetutamente qualsiasi testo che capita di risiedere negli appunti, che i computer e altri dispositivi utilizzano per memorizzare i dati che sono stati tagliati o copiati da cose come password manager e programmi di posta elettronica. Senza una chiara ragione per farlo, hanno scoperto i ricercatori Talal Haj Bakry e Tommy Mysk, le app hanno deliberatamente chiamato un’interfaccia di programmazione iOS che recupera il testo dagli appunti degli utenti.

Snooping universale

In molti casi, la lettura occulta non è limitata ai dati memorizzati sul dispositivo locale. Nel caso in cui l’iPhone o iPad utilizzi lo stesso ID Apple di altri dispositivi Apple e si trovino a circa 3 metri l’uno dall’altro, tutti condividono una clipboard universale, il che significa che i contenuti possono essere copiati dall’app di un dispositivo e incollati in un’app in esecuzione su un dispositivo separato.

Questo lascia aperta la possibilità che un’app su un iPhone legga dati sensibili sulle clipboard di altri dispositivi collegati. Questo potrebbe includere indirizzi bitcoin, password o messaggi e-mail che sono temporaneamente memorizzati negli appunti di un vicino Mac o iPad. Nonostante l’esecuzione su un dispositivo separato, le app iOS possono facilmente leggere i dati sensibili memorizzati sulle altre macchine.

Vedi di più

“È molto, molto pericoloso”, ha detto Mysk in un’intervista di venerdì, riferendosi alla lettura indiscriminata dei dati degli appunti da parte delle app. “Queste app stanno leggendo gli appunti e non c’è motivo di farlo. Un’app che non ha un campo di testo per inserire il testo non ha motivo di leggere il testo degli appunti.”

Il video qui sotto dimostra la lettura degli appunti universali:

Di nuovo nelle notizie

Mentre Haj Bakry e Mysk hanno pubblicato la loro ricerca a marzo, le app invasive hanno fatto di nuovo notizia questa settimana con il rilascio della beta per sviluppatori di iOS 14. Una nuova caratteristica aggiunta da Apple fornisce un banner di avviso ogni volta che un’app legge il contenuto degli appunti. Quando un gran numero di persone ha iniziato a testare la versione beta, hanno rapidamente apprezzato quante app si impegnano in questa pratica e quanto spesso lo fanno.

Questo video di YouTube, che ha accumulato più di 87.000 visualizzazioni da quando è stato pubblicato martedì, mostra un piccolo campione delle app che attivano il nuovo avviso.

TikTok sotto i riflettori

I titoli recenti hanno focalizzato l’attenzione su TikTok, in gran parte a causa della sua massiccia base di utenti attivi (segnalata a 800 milioni, con una stima di 104 milioni di installazioni iOS nella sola prima metà del 2018, rendendola l’app più scaricata per quel periodo).

Il continuo spiare di TikTok ha ottenuto un esame extra per altre ragioni. Quando è stato chiamato fuori a marzo, il fornitore di video-sharing ha detto alla pubblicazione britannica The Telegraph che avrebbe messo fine alla pratica nelle prossime settimane. Mysk ha detto che l’app non ha mai interrotto il monitoraggio. Inoltre, un thread di Twitter di mercoledì ha rivelato che la lettura degli appunti si è verificata ogni volta che un utente ha inserito un segno di punteggiatura o ha toccato la barra spaziatrice durante la composizione di un commento. Ciò significa che la lettura degli appunti può avvenire ogni secondo o giù di lì, un ritmo molto più aggressivo di quanto documentato nella ricerca di marzo, che ha trovato il monitoraggio è accaduto quando l’app è stata aperta o riaperta.

Per riprodurre:
1. Avere qualcosa negli appunti. Ad esempio copiare del testo dalle note o da un sito web
2. Aprire TikTok e iniziare a digitare in qualsiasi campo di testo
3. Impari da iOS 14 beta ogni volta che un’app “incolla” – ma in questo caso non l’ho richiesto, e nessuno di quel testo appare nell’UI

– Jeremy Burge (@jeremyburge) 24 giugno 2020

In una dichiarazione, i rappresentanti di TikTok hanno scritto:

Dopo il rilascio della beta di iOS14 il 22 giugno, gli utenti hanno visto notifiche mentre utilizzavano una serie di app popolari. Per TikTok, questo è stato innescato da una funzione progettata per identificare un comportamento ripetitivo e spammoso. Abbiamo già presentato una versione aggiornata dell’app all’App Store rimuovendo la funzione anti-spam per eliminare qualsiasi potenziale confusione.

TikTok si impegna a proteggere la privacy degli utenti e ad essere trasparente su come funziona la nostra app. Non vediamo l’ora di accogliere esperti esterni al nostro Centro per la trasparenza più tardi quest’anno.

Sul retroscena, un portavoce ha detto che TikTok per Android non ha mai implementato la funzione anti-spam.

Ho inviato domande di follow-up chiedendo (1) se la versione di TikTok per Android monitorasse gli appunti per qualsiasi altra ragione, (2) se qualsiasi testo degli appunti fosse caricato dal dispositivo, e (3) perché TikTok non ha rimosso il monitoraggio come promesso a marzo. Il portavoce deve ancora rispondere. Questo post sarà aggiornato se una risposta arriverà in seguito.

Non solo TikTok

In tutto, i ricercatori hanno trovato le seguenti app iOS stavano leggendo i dati degli appunti degli utenti ogni volta che l’app veniva aperta senza una chiara ragione per farlo:

• Nome App – BundleID

News

• ABC News – com.abcnews.ABCNews
• Al Jazeera English – ajenglishiphone
• CBC News – ca.cbc.CBCNews
• CBS News – com.H443NM7F8H.CBSNews
• CNBC – com.nbcuni.cnbc.cnbcrtipad
• Fox News – com.foxnews.foxnews
• News Break – com.particlenews.newsbreak
• New York Times – com.nytimes.NYTimes
• NPR – org.npr.nprnews
• ntv Nachrichten – de.n-tv.n-tvmobil
• Reuters – com.thomsonreuters.Reuters
• Russia Today – com.rt.RTNewsEnglish
• Stern Nachrichten – de.grunerundjahr.sternneu
• The Economist – com.economist.lamarr
• The Huffington Post – com.huffingtonpost.HuffingtonPost
• The Wall Street Journal – com.dowjones.WSJ.ipad
• Vice News – com.vice.news.VICE-News

Games

• 8 Ball Pool™ – com.miniclip.8ballpoolmult
• AMAZE!!! – com.amaze.game
• Bejeweled – com.ea.ios.bejeweledskies
• Block Puzzle -Game.BlockPuzzle
• Classic Bejeweled – com.popcap.ios.Bej3
• Classic Bejeweled HD -com.popcap.ios.Bej3HD
• FlipTheGun – com.playgendary.flipgun
• Fruit Ninja – com.halfbrick.FruitNinjaLite
• Golfmasters – com.playgendary.sportmasterstwo
• Letter Soup – com.candywriter.apollo7
• Love Nikki – com.elex.nikki
• My Emma – com.crazylabs.myemma
• Plants vs. Zombies™ Heroes – com.ea.ios.pvzheroes
• Pooking – Billiards City – com.pool.club.billiards.city
• PUBG Mobile – com.tencent.ig
• Tomb of the Mask – com.happymagenta.fromcore
• Tomb of the Mask: Color – com.happymagenta.totm2
• Total Party Kill – com.adventureislands.totalpartykill
• Watermarbling – com.hydro.dipping

Social Networking

• TikTok – com.zhiliaoapp.musically
• ToTalk – totalk.gofeiyu.com
• Tok – com.SimpleDate.Tok
• Truecaller – com.truesoftware.TrueCallerOther
• Viber – com.viber
• Weibo – com.sina.weibo
• Zoosk – com.zoosk.Zoosk

Other

• 10% Happier: Meditation -com.changecollective.tenpercenthappier
• 5-0 Radio Police Scanner – com.smartestapple.50radiofree
• Accuweather – com.yourcompany.TestWithCustomTabs
• AliExpress Shopping App – com.alibaba.iAliexpress
• Bed Bath & Beyond – com.digby.bedbathbeyond
• Dazn – com.dazn.theApp
• Hotels.com – com.hotels.HotelsNearMe
• Hotel Tonight – com.hoteltonight.prod
• Overstock – com.overstock.app
• Pigment – Adult Coloring Book – com.pixite.pigment
• Recolor Coloring Book to Color – com.sumoing.ReColor
• Sky Ticket – de.sky.skyonline
• The Weather Network – com.theweathernetwork.weathereyeiphone

Poco dopo la pubblicazione del rapporto, 10% Happier: Meditation and Hotel Tonight ha promesso di fermare il comportamento e rapidamente seguito attraverso. TikTik ha anche promesso di smettere è stato sorpreso a impegnarsi nella pratica di nuovo. Ecco l’elenco completo delle app che avevano frenato la pratica al 30 giugno:

News

• ABC News – com.abcnews.ABCNews
• Al Jazeera English – ajenglishiphone
• CBC News – ca.cbc.CBCNews
• CBS News – com.H443NM7F8H.CBSNews
• ntv Nachrichten – de.n-tv.n-tvmobil

Games

• 8 Ball Pool™ – com.miniclip.8ballpoolmult
• AMAZE!!! – com.amaze.game
• Classic Bejeweled – com.popcap.ios.Bej3
• Classic Bejeweled HD – com.popcap.ios.Bej3HD
• Letter Soup – com.candywriter.apollo7
• PUBG Mobile – com.tencent.ig
• Tomb of the Mask – com.happymagenta.fromcore
• Tomb of the Mask: Color – com.happymagenta.totm2

Social Networking

• TikTok – com.zhiliaoapp.musically
• Truecaller – com.truesoftware.TrueCallerOther
• Viber – com.viber

Other

• 10% Happier: Meditation -com.changecollective.tenpercenthappier
• 5-0 Radio Police Scanner – com.smartestapple.50radiofree
• Dazn – com.dazn.theApp
• Hotels.com – com.hotels.HotelsNearMe
• Hotel Tonight – com.hoteltonight.prod
• Recolor Coloring Book to Color – com.sumoing.ReColor

Lettura degli appunti fatta bene

In alcuni casi, la lettura degli appunti può rendere le app molto più utili. L’applicazione UPS per iPhone, per esempio, estrae un testo dagli appunti e, nel caso in cui il testo corrisponda alle caratteristiche di un numero di tracciamento, l’applicazione chiede all’utente di rintracciare il pacco corrispondente. Anche Google Chrome estrae il testo e, nel caso sia un URL, chiederà all’utente di navigare verso di esso. L’editor fotografico Pixelmator legge i dati solo se si tratta di un’immagine. Se lo è, Pixelmator chiederà all’utente di aprirla per modificarla. In tutti e tre i casi, la lettura dei dati ha un chiaro caso d’uso ed è trasparente.

TikTok e le altre app incriminate, al contrario, accedono agli appunti senza una chiara ragione e senza alcuna indicazione che lo stanno facendo. Per molte app, è difficile vedere qualsiasi ragione legittima di performance o usabilità per l’accesso. Mysk ha detto che Apple prevede di accreditare la sua ricerca e quella di Haj Bakry come catalizzatore per la nuova notifica degli appunti inserita in iOS 14.

La lettura degli appunti che Haj Bakry e Mysk hanno riportato solleva preoccupazioni che probabilmente si estendono a chi utilizza Android e forse altri sistemi operativi. Mysk ha detto che la lettura degli appunti nelle applicazioni Android è “anche peggio” di iOS perché le API del sistema operativo sono molto più indulgenti. Fino alla versione 10, per esempio, Android permetteva alle app in esecuzione in background di leggere gli appunti. Le app iOS, al contrario, possono leggere o interrogare gli appunti solo quando sono attive (cioè in primo piano).

Mysk ha detto che la funzione di notifica di Apple è un buon inizio ma, in definitiva, Apple e Google dovrebbero fare di più. Una possibilità è quella di rendere l’accesso agli appunti un permesso standard, proprio come l’accesso al microfono o alla fotocamera. Un’altra possibilità è quella di richiedere agli sviluppatori di app di rivelare precisamente a quali dati degli appunti si accede e cosa fa l’app con essi.

Per ora, gli utenti dovrebbero rimanere consapevoli che qualsiasi dato memorizzato negli appunti – nonostante sia poco appariscente a occhio nudo – può essere regolarmente accessibile da app che in molti casi non sono nemmeno installate localmente sul dispositivo. In caso di dubbio, lavate i dati degli appunti copiando un carattere, una parola o altri dati innocui.