3 月に研究者が、インターネットに嵐をもたらした中国系ソーシャルメディアとビデオ共有現象、TikTok など 40 以上の iOS アプリによる困ったプライバシー取得を発覚しました。 TikTokはこの行為を抑制することを誓ったにもかかわらず、Appleユーザーの最も機密性の高いデータ(パスワード、暗号通貨ウォレットのアドレス、アカウントリセットリンク、個人的なメッセージなど)にアクセスし続けているのです。 4993>
プライバシー侵害は、アプリがクリップボードにあるテキストを繰り返し読み取ることによって起こります。クリップボードは、コンピューターやその他のデバイスが、パスワード管理やメールプログラムなどからカットまたはコピーされたデータを保存するために使用します。 研究者の Talal Haj Bakry 氏と Tommy Mysk 氏は、そうする明確な理由がないまま、アプリが意図的にユーザーのクリップボードからテキストを取得する iOS プログラミング インターフェイスを呼び出したことを発見しました。 iPhone や iPad が他の Apple デバイスと同じ Apple ID を使用し、互いに約 10 フィート以内にある場合、すべてのデバイスはユニバーサル クリップボードを共有し、あるデバイスのアプリからコンテンツをコピーして、別のデバイスで実行中のアプリに貼り付けることができることを意味します。 これには、近くにある Mac や iPad のクリップボードに一時的に保存されているビットコイン アドレス、パスワード、電子メール メッセージが含まれる可能性があります。 iOSアプリは、別のデバイスで動作しているにもかかわらず、他のマシンに保存されている機密データを簡単に読み取ることができます。
「これは非常に、非常に危険です」とMyskは金曜日のインタビューで、アプリによるクリップボード データの無差別読み取りについて言及しました。 「これらのアプリは、クリップボードを読み込んでいますが、これを行う理由はありません。 テキストを入力するテキスト フィールドがないアプリは、クリップボードのテキストを読む理由がありません」
以下のビデオでは、ユニバーサル クリップボードの読み取りを実演しています。
Back in the news
Haj Bakry と Mysk は 3 月に研究を発表しましたが、今週 iOS 14 の開発者ベータ リリースで、侵入アプリが再び話題となりました。 Appleが追加した斬新な機能は、アプリがクリップボードの内容を読み取るたびにバナーで警告を表示するものです。 4993>
火曜日に投稿されて以来 87,000 回以上再生されているこの YouTube 動画は、新しい警告を引き起こすアプリのほんの一例を示しています。
TikTok in the spotlight
最近のヘッドラインでは、TikTok に特に注目が集まっていますが、その理由の大部分は、アクティブ ユーザーの大量のベース (8 億と報告されており、2018 年の上半期だけでも iOS インストール数は推定 1 億 400 万、この期間では最もダウンロードされたアプリとなった) です。
TikTok の継続した盗聴が特に精査された理由は、別の点からです。 3月に呼び出されたとき、動画共有プロバイダーは英国の出版社The Telegraphに対し、今後数週間のうちにこの行為を終わらせると述べた。 Myskは、アプリが監視を止めることはなかったと述べている。 さらに、水曜日のTwitterのスレッドでは、ユーザーがコメントを作成する際に句読点を入力したり、スペースバーをタップするたびにクリップボードの読み取りが行われていることが明らかになりました。 これは、アプリを開いたり、再び開いたりしたときに監視が行われることを発見した 3 月の調査よりもはるかに積極的なペースで、クリップボードの読み取りが行われる可能性があることを意味します。 例えば、メモ帳やウェブサイトからテキストをコピーします
2. TikTok を開き、任意のテキスト フィールドに入力を開始します
3. アプリが「ペースト」するたびに iOS 14 ベータから学ぶ – しかしこの例では私はそれを要求しておらず、そのテキストのどれも UI
– Jeremy Burge (@jeremyburge) June 24, 2020
声明の中で、TikTok 代表は次のように述べています:
6 月22日の iOS14 ベータ リリースを受けて、ユーザーは多くの人気アプリを使用中に通知を目にすることになりました。 TikTokの場合、これは、繰り返しのスパム的な行動を識別するために設計された機能によって引き起こされました。 私たちはすでに、潜在的な混乱をなくすために、スパム対策機能を削除したアプリの更新版を App Store に提出しました。
TikTok はユーザーのプライバシーを保護し、私たちのアプリがどのように機能するかについて透明であることに尽力しています。
背景として、広報担当者は、Android 版 TikTok はスパム防止機能を実装していないと述べています。
私はフォローアップ質問を送り、(1)Android 版 TikTok が他の理由でクリップボードを監視していたか、(2)クリップボード テキストがデバイスからアップロードされていたか、(3)なぜ 3 月に約束したように TikTok が監視を削除しなかったか、について尋ねました。 広報担当者はまだ回答していません。
TikTok だけではない
全体として、研究者は、以下の iOS アプリが、アプリを開くたびにユーザーのクリップボード データを読み込んでおり、そうする明確な理由がないことを発見しました:
- アプリ名 – BundleID
News
- ABC News – com.ABC.News.com。abcnews.ABCNews
- Al Jazeera English – ajenglishiphone
- CBC News – ca.cbc.CBCNews
- CBS News – com.H443NM7F8H.ABCNews
- CBS News – com.Cbc.CBCNews
- Al Jazeera English – ca.Cbc.CBCNews
- CNBC – com.nbcuni.cnbc.cnbcrtipad
- Fox News – com.foxnews.foxnews
- News Break – com.particlenews.Foxnews
- News Break – cnbc.cnbc.CNbc
- CNBC – com.nbcuni.nbc.nbc
- New York Times – com.nytimes.NYTimes
- NPR – org.npr.nprnews
- ntv Nachrichten – de.n-tv.n-tvmobil
- Reuters – com.thomsonreuters.Reuters
- Russia Today – com.rt.RTNewsEnglish
- Stern Nachrichten – de.grunerundjahr.Reuters
- Stern New York Times – com.ntimes.NYTimes
- New York Times – com.nytimes.NYTimes
- NPR Nachrichten – jp.grunerundjahr.Reuters
- The Economist – com.economist.lamarr
- The Huffington Post – com.huffingtonpost.HuffingtonPost
- The Wall Street Journal – com.dowjones.WSJ.ipad
- Vice News – com.vice.news.VICE-News
Games
- 8 Ball Pool™ – com.miniclip.8ballpoolmult
- AMAZE!!!!! – com.amaze.game
- Bejeweled – com.ea.ios.bejeweledskies
- Block Puzzle -Game.BlockPuzzle
- Classic Bejeweled – com.popcap.ios.Bej3
- Classic Bejeweled HD -com.Bej3
- 古典的なビジュエリー -com.Bej3
- Classic Bejeweled HD
- 古典的なビジュエリー -com.Bej3
- FlipTheGun – com.playgendary.flipgun
- Fruit Ninja – com.halfbrick.FruitNinjaLite
- Golfmasters – com.playgendary.Bej3HD
- Golfmasters – com.halfbrick.Flipgun
- Letter Soup – com.candywriter.apollo7
- Love Nikki – com.elex.nikki
- My Emma – com.crazylabs.myemma
- Plants vs. Zombies™ Heroes – com.ea.ios.Inc.pvzheroes
- Pooking – Billiards City – com.pool.club.billiards.city
- PUBG Mobile – com.tencent.ig
- Tomb of the Mask – com.happymagenta.fromcore
- Tomb of the Mask.com
- Total Party Kill – com.adventureislands.totalpartykill
- Watermarbling – com.hydro.dipping
– com.playgendary.FruitNinja
。 Color – com.happymagenta.totm2
Social Networking
- TikTok – com.zhiliaoapp.musically
- ToTalk – totalk.TikTok TikTok TikTok – com.zhiliaoapp.musically
- ToTalk – totalk.TikTokgofeiyu.com
- Tok – com.SimpleDate.Tok
- Truecaller – com.truesoftware.TrueCallerOther
- Viber – com.viber
- Weibo – com.sina.weibo
- Zoosk – com.zoosk.Zoosk
その他
- 10% Happier.JP
- 5-0 ラジオ警察スキャナー – com.smartestapple.50radiofree
- Accuweather – com.yourcompany.TestWithCustomTabs
- AliExpress Shopping App – com.alibaba.iAliexpress
- Bed Bath & Beyond – com.digby.bedbathbeyond
- Dazn – com.dazn.theApp
- Hotels.com – com.hotels.HotelsNearMe
- Hotel Tonight – com.hoteltonight.prod
- Overstock – com.overstock.app
- Pigment – Adult Coloring Book – com.pixite.pigment
- Recolor Coloring Book to Color – com.sumoing.ReColor
- Sky Ticket – de.sky.skyonline
- The Weather Network – com.theweathernetwork.weathereyeiphone
。 瞑想 -com.changecollective.tenpercenthappier
レポート発表後すぐに10% Happierを発表しました。 瞑想とホテル・トゥナイト」は、この行為を止めることを約束し、すぐに実行に移しました。 TikTikもまた、再びこの行為に関与していることが発覚した場合、停止することを約束しました。 6月30日現在、この行為を抑制したアプリの全リストは以下の通り:
News
- ABC News – com.abcnews.ABCNews
- Al Jazeera English – ajenglishiphone
- CBC News – ca.ABC.News
- (英語)(日本語)(英語)は、この行為を抑制したアプリのリストである。cbc.CBCNews
- CBS News – com.H443NM7F8H.CBSNews
- ntv Nachrichten – de.n-tv.n-tvmobil
Games
- 8 Ball Pool™ – com.miniclip.8ballpoolmult
- AMAZE!!! – com.amaze.game
- Classic Bejeweled – com.popcap.ios.Bej3
- Classic Bejeweled HD – com.popcap.ios.Bej3HD
- Letter Soup – com.amaze.game
- Classic Bejeweled – com.popcap.ios.Bej3
- Letter Soup – jp.candywriter.apollo7
- PUBG Mobile – com.tencent.ig
- Tomb of the Mask – com.happymagenta.fromcore
- Tomb of the Mask.com(仮面ライダー)
。 Color – com.happymagenta.totm2
ソーシャルネットワーク
- TikTok – com.zhiliaoapp.musically
- Truecaller – com.truesoftware.TrueCallerOther
- Viber – com.viber
その他
- 10% Happier.Com.Happy.Com.Happy.com
- 10% Happier.Com.Zummer
ソーシャルネットワーク
- 10% Happier.Com.Happy.com.Happy.com
- 5-0 ラジオ警察スキャナ – com.smartestapple.50radiofree
- Dazn – com.dazn.theApp
- Hotels.com – com.hotels.HotelsNearMe
- Hotel Tonight – com.hoteltonight.prod
- Recolor Coloring Book to Color – com.sumoing.ReColor
Clipboard reading done right
場合により、クリップボードを読み込むことによってアプリがより便利になることがあります。 たとえば、UPS の iPhone アプリは、クリップボードからテキストを読み取り、そのテキストが追跡番号の特徴と一致する場合、アプリは該当する荷物を追跡するようユーザーに促します。 Google Chromeもテキストを取り込み、それがURLであれば、ユーザーにそのURLへのブラウズを促します。 フォトエディターPixelmatorは、画像である場合のみデータを読み取ります。 画像である場合、Pixelmatorは編集のために画像を開くようユーザーに促します。 これに対して、TikTok およびその他の問題のあるアプリは、明確な理由もなく、そうしていることを示すこともなく、クリップボードにアクセスします。 多くのアプリでは、アクセスするための正当なパフォーマンスやユーザビリティの理由を確認することは困難です。 Mysk氏によると、Appleは、彼とHaj Bakry氏の研究を、iOS 14に組み込まれた新しいクリップボード通知のきっかけとなったと評価する予定です。 Mysk は、Android アプリのクリップボード読み取りは、OS API が非常に甘いため、iOS よりも「さらにひどい」ものであると述べています。 たとえば、バージョン 10 まで、Android ではバックグラウンドで動作するアプリがクリップボードを読み取ることができましたが、iOS アプリはアクティブなとき (つまり、フォアグラウンドで動作しているとき) のみクリップボードの読み取りや問い合わせが可能です。 1 つの可能性は、マイクやカメラへのアクセスが現在そうであるように、クリップボードへのアクセスを標準的な権限とすることです。 もう 1 つの可能性は、アプリ開発者が、どのクリップボード データにアクセスし、アプリがそれを使って何を行うかを正確に開示するよう求めることです。
今のところ、ユーザーは、肉眼では目立たないにもかかわらず、クリップボードに保存されたデータはすべて、多くの場合、デバイスにローカルにインストールさえされていないアプリによって定期的にアクセスされるということを認識しておく必要があります。 疑わしい場合は、文字、単語、またはその他の無害なデータをコピーして、クリップボードのデータをフラッシュします。