In maart hebben onderzoekers een verontrustende privacyschending ontdekt door meer dan vier dozijn iOS-apps, waaronder TikTok, het Chinese fenomeen voor het delen van sociale media en video’s dat het internet stormenderhand heeft veroverd. Ondanks de belofte van TikTok om de praktijk te beteugelen, blijft het toegang houden tot een aantal van de meest gevoelige gegevens van Apple-gebruikers, waaronder wachtwoorden, adressen van portemonnees voor cryptocurrency, links voor het resetten van accounts en persoonlijke berichten. Een andere 32 apps die in maart werden geïdentificeerd, zijn ook niet gestopt.

De privacyschending is het resultaat van de apps die herhaaldelijk elke tekst lezen die toevallig op klemborden staat, die computers en andere apparaten gebruiken om gegevens op te slaan die zijn geknipt of gekopieerd van dingen zoals wachtwoordbeheerders en e-mailprogramma’s. Zonder duidelijke reden om dit te doen, ontdekten onderzoekers Talal Haj Bakry en Tommy Mysk, riepen de apps opzettelijk een iOS-programmeerinterface op die tekst van de klemborden van gebruikers ophaalt.

Universele snooping

In veel gevallen is het heimelijke lezen niet beperkt tot gegevens die op het lokale apparaat zijn opgeslagen. In het geval dat de iPhone of iPad dezelfde Apple ID gebruikt als andere Apple-apparaten en zich binnen een straal van ongeveer 10 meter van elkaar bevinden, delen ze allemaal een universeel klembord, wat betekent dat de inhoud kan worden gekopieerd vanuit de app van het ene apparaat en kan worden geplakt in een app die op een ander apparaat draait.

Dat laat de mogelijkheid open dat een app op een iPhone gevoelige gegevens leest op de klemborden van andere verbonden apparaten. Dit zou bitcoin-adressen, wachtwoorden of e-mailberichten kunnen omvatten die tijdelijk zijn opgeslagen op het klembord van een nabijgelegen Mac of iPad. Ondanks dat de iOS-apps op een apart apparaat draaien, kunnen ze gemakkelijk de gevoelige gegevens lezen die op de andere machines zijn opgeslagen.

Bekijk meer

“Het is heel, heel gevaarlijk,” zei Mysk vrijdag in een interview, verwijzend naar het lukraak lezen van klembordgegevens door de apps. “Deze apps lezen klemborden, en daar is geen enkele reden voor. Een app die geen tekstveld heeft om tekst in te voeren, heeft geen reden om klembord-tekst te lezen.”

De onderstaande video demonstreert het universele klembord lezen:

Terug in het nieuws

Terwijl Haj Bakry en Mysk hun onderzoek in maart publiceerden, haalden de invasieve apps deze week opnieuw het nieuws met de ontwikkelaarsbèta-release van iOS 14. Een nieuwe functie die Apple heeft toegevoegd, geeft een waarschuwing in de vorm van een banner telkens wanneer een app de inhoud van het klembord leest. Toen veel mensen de bètaversie begonnen te testen, kwamen ze er al snel achter hoeveel apps zich hiermee bezighouden en hoe vaak ze dit doen.

Deze YouTube-video, die al meer dan 87.000 keer is bekeken sinds hij dinsdag werd geplaatst, laat een klein voorbeeld zien van de apps die de nieuwe waarschuwing activeren.

TikTok in de schijnwerpers

De recente krantenkoppen hebben vooral de aandacht gevestigd op TikTok, voor een groot deel vanwege het enorme aantal actieve gebruikers (naar verluidt 800 miljoen, met naar schatting 104 miljoen iOS-installaties alleen al in de eerste helft van 2018, waardoor het de meest gedownloade app voor die periode is).

TikTok’s voortdurende gesnuffel is om andere redenen extra in de gaten gehouden. Toen de video-sharing provider in maart werd uitgescholden, vertelde het de Britse publicatie The Telegraph dat het de praktijk in de komende weken zou beëindigen. Mysk zei dat de app nooit is gestopt met het monitoren. Bovendien bleek woensdag uit een Twitter-draad dat het lezen van het klembord gebeurde telkens wanneer een gebruiker een leesteken invoerde of op de spatiebalk tikte tijdens het samenstellen van een commentaar. Dat betekent dat het lezen van het klembord elke seconde of zo kan gebeuren, een veel agressiever tempo dan gedocumenteerd in het onderzoek van maart, dat ontdekte dat de monitoring gebeurde wanneer de app werd geopend of heropend.

Om te reproduceren:
1. Heb iets op je klembord. Kopieer bijvoorbeeld wat tekst uit Notes of een website
2. Open TikTok en begin in een willekeurig tekstveld te typen
3. Je leert van iOS 14 beta elke keer dat een app “plakt” – maar in dit geval heb ik er niet om gevraagd, en geen van die tekst verschijnt in UI

– Jeremy Burge (@jeremyburge) June 24, 2020

In een verklaring schreven TikTok-vertegenwoordigers:

Na de bèta-release van iOS14 op 22 juni zagen gebruikers notificaties tijdens het gebruik van een aantal populaire apps. Voor TikTok werd dit getriggerd door een functie die is ontworpen om herhaaldelijk, spammy gedrag te identificeren. We hebben al een bijgewerkte versie van de app ingediend bij de App Store waarin de antispamfunctie is verwijderd om mogelijke verwarring weg te nemen.

TikTok is toegewijd aan het beschermen van de privacy van gebruikers en transparant te zijn over hoe onze app werkt. We kijken ernaar uit om later dit jaar externe experts te verwelkomen in ons Transparantiecentrum.

Op de achtergrond zei een woordvoerder dat TikTok voor Android de anti-spamfunctie nooit heeft geïmplementeerd.

Ik stuurde vervolgvragen met de vraag (1) of de TikTok-versie voor Android klemborden om een andere reden bewaakte, (2) of er klembordtekst werd geüpload vanaf het apparaat, en (3) waarom TikTok de bewaking niet heeft verwijderd, zoals beloofd in maart. De woordvoerder heeft nog niet gereageerd. Dit bericht zal worden bijgewerkt als er later een antwoord komt.

Niet alleen TikTok

In totaal ontdekten de onderzoekers dat de volgende iOS-apps de klembordgegevens van gebruikers lazen telkens wanneer de app werd geopend, zonder duidelijke reden om dit te doen:

• App Name – BundleID

News

• ABC News – com.abcnews.ABCNews
• Al Jazeera English – ajenglishiphone
• CBC News – ca.cbc.CBCNews
• CBS News – com.H443NM7F8H.CBSNews
• CNBC – com.nbcuni.cnbc.cnbcrtipad
• Fox News – com.foxnews.foxnews
• News Break – com.particlenews.newsbreak
• New York Times – com.nytimes.NYTimes
• NPR – org.npr.nprnews
• ntv Nachrichten – de.n-tv.n-tvmobil
• Reuters – com.thomsonreuters.Reuters
• Russia Today – com.rt.RTNewsEnglish
• Stern Nachrichten – de.grunerundjahr.sternneu
• The Economist – com.economist.lamarr
• The Huffington Post – com.huffingtonpost.HuffingtonPost
• The Wall Street Journal – com.dowjones.WSJ.ipad
• Vice News – com.vice.news.VICE-News

Games

• 8 Ball Pool™ – com.miniclip.8ballpoolmult
• AMAZE!!! – com.amaze.game
• Bejeweled – com.ea.ios.bejeweledskies
• Blokpuzzel -Game.BlockPuzzle
• Classic Bejeweled – com.popcap.ios.Bej3
• Classic Bejeweled HD -com.popcap.ios.Bej3HD
• FlipTheGun – com.playgendary.flipgun
• Fruit Ninja – com.halfbrick.FruitNinjaLite
• Golfmasters – com.playgendary.sportmasterstwo
• Letter Soup – com.candywriter.apollo7
• Love Nikki – com.elex.nikki
• Mijn Emma – com.crazylabs.myemma
• Plants vs. Zombies™ Heroes – com.ea.ios.pvzheroes
• Pooking – Billiards City – com.pool.club.billiards.city
• PUBG Mobile – com.tencent.ig
• Tomb of the Mask – com.happymagenta.fromcore
• Tomb of the Mask: Color – com.happymagenta.totm2
• Total Party Kill – com.adventureislands.totalpartykill
• Watermarbling – com.hydro.dipping

Social Networking

• TikTok – com.zhiliaoapp.musically
• ToTalk – totalk.gofeiyu.com
• Tok – com.SimpleDate.Tok
• Truecaller – com.truesoftware.TrueCallerOther
• Viber – com.viber
• Weibo – com.sina.weibo
• Zoosk – com.zoosk.Zoosk

Other

• 10% Happier: Meditatie -com.changecollective.tenpercenthappier
• 5-0 Radio Politie Scanner – com.smartestapple.50radiofree
• Accuweather – com.yourcompany.TestWithCustomTabs
• AliExpress Shopping App – com.alibaba.iAliexpress
• Bed Bath & Beyond – com.digby.bedbathbeyond
• Dazn – com.dazn.theApp
• Hotels.com – com.hotels.HotelsNearMe
• Hotel Tonight – com.hoteltonight.prod
• Overstock – com.overstock.app
• Pigment – Adult Coloring Book – com.pixite.pigment
• Recolor Kleurboek om in te kleuren – com.sumoing.ReColor
• Sky Ticket – de.sky.skyonline
• The Weather Network – com.theweathernetwork.weathereyeiphone

Kort na de publicatie van het rapport, 10% Happier: Meditation and Hotel Tonight beloofd te stoppen met het gedrag en volgde snel op. TikTik beloofde ook te stoppen werd betrapt in het bezighouden met de praktijk weer. Hier is de volledige lijst van apps die de praktijk vanaf 30 juni hadden beteugeld:

News

• ABC News – com.abcnews.ABCNews
• Al Jazeera English – ajenglishiphone
• CBC News – ca.cbc.CBCNews
• CBS News – com.H443NM7F8H.CBSNews
• ntv Nachrichten – de.n-tv.n-tvmobil

Games

• 8 Ball Pool™ – com.miniclip.8ballpoolmult
• AMAZE!!! – com.amaze.game
• Classic Bejeweled – com.popcap.ios.Bej3
• Classic Bejeweled HD – com.popcap.ios.Bej3HD
• Letter Soup – com.candywriter.apollo7
• PUBG Mobile – com.tencent.ig
• Tomb of the Mask – com.happymagenta.fromcore
• Tomb of the Mask: Color – com.happymagenta.totm2

Social Networking

• TikTok – com.zhiliaoapp.musically
• Truecaller – com.truesoftware.TrueCallerOther
• Viber – com.viber

Other

• 10% Happier: Meditatie -com.changecollective.tenpercenthappier
• 5-0 Radio Politie Scanner – com.smartestapple.50radiofree
• Dazn – com.dazn.theApp
• Hotels.com – com.hotels.HotelsNearMe
• Hotel Tonight – com.hoteltonight.prod
• Recolor Coloring Book to Color – com.sumoing.ReColor

Clipboard reading done right

In sommige gevallen kan clipboard reading apps veel bruikbaarder maken. De UPS iPhone app, bijvoorbeeld, haalt tekst van het klembord, en in het geval dat de tekst overeenkomt met de kenmerken van een tracking-nummer, de app vraagt de gebruiker om het corresponderende pakket te volgen. Google Chrome haalt ook tekst op en als het een URL is, vraagt de app de gebruiker om ernaar te surfen. De foto-editor Pixelmator leest alleen gegevens als het om een afbeelding gaat. Als dat het geval is, zal Pixelmator de gebruiker vragen om de afbeelding te openen om te bewerken. In alle drie de gevallen heeft het lezen van gegevens een duidelijk doel en is het transparant.

TikTok en de andere overtredende apps, daarentegen, openen het klembord zonder duidelijke reden en zonder indicatie dat ze dat doen. Voor veel apps is het moeilijk om een legitieme prestatie- of bruikbaarheidsreden voor de toegang te zien. Mysk zei dat Apple van plan is zijn en Haj Bakry’s onderzoek te crediteren als een katalysator voor de nieuwe klembordmelding die in iOS 14 is gestopt.

De klembordlezing die Haj Bakry en Mysk rapporteerden, roept zorgen op die zich waarschijnlijk uitstrekken tot degenen die Android en mogelijk andere besturingssystemen gebruiken. Mysk zei dat klembordlezen in Android-apps “nog erger” is dan iOS omdat de OS API’s zo veel toegeeflijker zijn. Tot versie 10 stond Android bijvoorbeeld toe dat apps die op de achtergrond draaiden het klembord konden lezen. iOS-apps daarentegen kunnen klemborden alleen lezen of bevragen als ze actief zijn (dus op de voorgrond draaien).

Mysk zei dat de meldingsfunctie van Apple een goed begin is, maar dat Apple en Google uiteindelijk meer zouden moeten doen. Een mogelijkheid is om toegang tot het klembord tot een standaard permissie te maken, net zoals toegang tot een microfoon of camera dat nu is. Een andere mogelijkheid is om app-ontwikkelaars te verplichten om precies bekend te maken welke klembordgegevens worden geopend en wat de app ermee doet.

Voorlopig moeten gebruikers zich ervan bewust blijven dat alle gegevens die zijn opgeslagen op het klembord – ondanks dat ze onopvallend zijn voor het blote oog – regelmatig kunnen worden geopend door apps die in veel gevallen niet eens lokaal op het apparaat zijn geïnstalleerd. In geval van twijfel kunt u de gegevens op het klembord doorspoelen door een teken, woord of ander onschadelijk gegeven te kopiëren.