TikTok i 32 inne aplikacje iOS nadal snoop swoje wrażliwe dane schowka

Posted by admin Articles

W marcu, badacze odkryli niepokojące prywatności chwyt przez ponad cztery tuziny aplikacji iOS, w tym TikTok, chińskim własnością mediów społecznych i wideo-sharing zjawisko, które wzięło Internet przez burzę. Pomimo TikTok ślubował ograniczyć praktykę, to nadal uzyskać dostęp do niektórych z najbardziej wrażliwych danych użytkowników Apple, które mogą obejmować hasła, adresy portfeli kryptowalutowych, linki resetowania konta, i wiadomości osobistych. Innym 32 aplikacje zidentyfikowane w marcu nie zatrzymał albo.

Inwazja prywatności jest wynikiem aplikacji wielokrotnie czytania każdego tekstu, który zdarza się rezydować w schowkach, które komputery i inne urządzenia wykorzystują do przechowywania danych, które zostały wycięte lub skopiowane z rzeczy, takich jak menedżerowie haseł i programów pocztowych. Bez wyraźnego powodu, badacze Talal Haj Bakry i Tommy Mysk odkryli, że aplikacje celowo wywoływały interfejs programowania iOS, który pobiera tekst ze schowków użytkowników.

Uniwersalne snooping

W wielu przypadkach, potajemne czytanie nie jest ograniczone do danych przechowywanych na lokalnym urządzeniu. W przypadku iPhone lub iPad używa tego samego Apple ID jako innych urządzeń Apple i są w odległości około 10 stóp od siebie, wszystkie z nich akcji uniwersalny schowek, co oznacza zawartość może być kopiowane z aplikacji jednego urządzenia i wklejone do aplikacji działającej na oddzielnym urządzeniu.

To pozostawia otwartą możliwość, że aplikacja na iPhone będzie czytać wrażliwe dane na schowkach innych podłączonych urządzeń. Może to obejmować adresy bitcoin, hasła, lub wiadomości e-mail, które są tymczasowo przechowywane w schowku pobliskiego Mac lub iPad. Pomimo działania na oddzielnym urządzeniu, aplikacje iOS mogą łatwo odczytać wrażliwe dane przechowywane na innych urządzeniach.

Zobacz więcej

„To bardzo, bardzo niebezpieczne”, powiedział Mysk w wywiadzie w piątek, odnosząc się do bezkrytycznego czytania danych ze schowka przez aplikacje. „Te aplikacje czytają schowki, a nie ma żadnego powodu, aby to robić. Aplikacja, która nie ma pola tekstowego do wprowadzania tekstu, nie ma powodu, aby czytać tekst ze schowka.”

Poniższe wideo demonstruje uniwersalny odczyt schowka:

KlipboardSpy: Jak złośliwe aplikacje na iPhone’a i iPada nadużywają uniwersalnego schowka na komputerze Mac.

Powrót do wiadomości

Podczas gdy Haj Bakry i Mysk opublikowali swoje badania w marcu, inwazyjne aplikacje trafiły na pierwsze strony gazet ponownie w tym tygodniu wraz z wydaniem bety iOS 14 dla deweloperów. Nowatorska funkcja dodana przez Apple zapewnia baner ostrzegawczy za każdym razem, gdy aplikacja czyta zawartość schowka. Jak duża liczba osób rozpoczęła testowanie wydania beta, szybko przyszedł do uznania tylko jak wiele aplikacji angażują się w praktyce i tylko jak często to robią.

Ten film YouTube, który zgarnął ponad 87.000 wyświetleń, ponieważ został opublikowany we wtorek, pokazuje małą próbkę aplikacji wyzwalających nowy warning.

iOS14 Catches Apps Spying on Your Clipboard.

TikTok w centrum uwagi

Ostatnie nagłówki skupiły szczególną uwagę na aplikacji TikTok, w dużej mierze ze względu na jej ogromną bazę aktywnych użytkowników (podobno 800 milionów, z szacunkową liczbą 104 milionów instalacji na iOS w samej pierwszej połowie 2018 r., co czyni ją najczęściej pobieraną aplikacją w tym okresie).

Ciągłe węszenie przez TikTok zyskało dodatkową kontrolę z innych powodów. Po wezwaniu w marcu, dostawca usług udostępniania wideo powiedział brytyjskiej publikacji The Telegraph, że zakończy praktykę w nadchodzących tygodniach. Mysk powiedział, że aplikacja nigdy nie przestała monitorować. Co więcej, środowy wątek na Twitterze ujawnił, że czytanie schowka następowało za każdym razem, gdy użytkownik wprowadzał znak interpunkcyjny lub stukał w spację podczas komponowania komentarza. Oznacza to, że czytanie schowka może zdarzyć się co sekundę lub tak, znacznie bardziej agresywne tempo niż udokumentowane w badaniach z marca, który stwierdził, że monitorowanie stało się, gdy aplikacja została otwarta lub reopened.

Do odtworzenia:
1. mieć coś w swoim schowku. Na przykład skopiuj jakiś tekst z Notatek lub strony internetowej
2. Otwórz TikTok i zacznij wpisywać w dowolnym polu tekstowym
3. Uczysz się z iOS 14 beta za każdym razem, gdy aplikacja „wkleja” – ale w tym przypadku nie prosiłem o to, a żaden z tych tekstów nie pojawia się w UI

– Jeremy Burge (@jeremyburge) June 24, 2020

W oświadczeniu przedstawiciele TikTok napisali:

Po wydaniu bety iOS14 22 czerwca, użytkownicy widzieli powiadomienia podczas korzystania z wielu popularnych aplikacji. W przypadku TikTok było to wywołane przez funkcję zaprojektowaną w celu identyfikacji powtarzających się, spamerskich zachowań. Złożyliśmy już zaktualizowaną wersję aplikacji do App Store usuwając funkcję antyspamową, aby wyeliminować wszelkie potencjalne zamieszanie.

TikTok jest zaangażowany w ochronę prywatności użytkowników i jest przejrzysty o tym, jak działa nasza aplikacja. Mamy nadzieję powitać zewnętrznych ekspertów w naszym Centrum Przejrzystości jeszcze w tym roku.

Na drugim planie rzecznik powiedział, że TikTok dla Androida nigdy nie wdrożył funkcji antyspamowej.

Wysłałem pytania uzupełniające, pytając (1) czy wersja TikTok dla Androida monitorowała schowki z jakiegokolwiek innego powodu, (2) czy jakikolwiek tekst ze schowka był przesyłany z urządzenia, oraz (3) dlaczego TikTok nie usunął monitorowania, jak obiecał w marcu. Rzecznik jeszcze nie odpowiedział. Ten post zostanie zaktualizowany, jeśli odpowiedź pojawi się później.

Nie tylko TikTok

W sumie badacze odkryli, że następujące aplikacje iOS odczytywały dane ze schowka użytkowników za każdym razem, gdy aplikacja była otwierana, bez wyraźnego powodu, aby to robić:

  • App Name – BundleID

News

  • ABC News – com.abcnews.ABCNews
  • Al Jazeera English – ajenglishiphone
  • CBC News – ca.cbc.CBCNews
  • CBS News – com.H443NM7F8H.CBSNews
  • CNBC – com.nbcuni.cnbc.cnbcrtipad
  • Fox News – com.foxnews.foxnews
  • News Break – com.particlenews.newsbreak
  • New York Times – com.nytimes.NYTimes
  • NPR – org.npr.nprnews
  • ntv Nachrichten – de.n-tv.n-tvmobil
  • Reuters – com.thomsonreuters.Reuters
  • Russia Today – com.rt.RTNewsEnglish
  • Stern Nachrichten – de.grunerundjahr.sternneu
  • The Economist – com.economist.lamarr
  • The Huffington Post – com.huffingtonpost.HuffingtonPost
  • The Wall Street Journal – com.dowjones.WSJ.ipad
  • Vice News – com.vice.news.VICE-News

Gry

  • 8 Ball Pool™ – com.miniclip.8ballpoolmult
  • AMAZE!!! – com.amaze.game
  • Bejeweled – com.ea.ios.bejeweledskies
  • Block Puzzle -Game.BlockPuzzle
  • Classic Bejeweled – com.popcap.ios.Bej3
  • Classic Bejeweled HD -com.popcap.ios.Bej3HD
  • FlipTheGun – com.playgendary.flipgun
  • Fruit Ninja – com.halfbrick.FruitNinjaLite
  • Golfmasters – com.playgendary.sportmasterstwo
  • Letter Soup – com.candywriter.apollo7
  • Love Nikki – com.elex.nikki
  • My Emma – com.crazylabs.myemma
  • Plants vs. Zombies™ Heroes – com.ea.ios.pvzheroes
  • Pooking – Billiards City – com.pool.club.billiards.city
  • PUBG Mobile – com.tencent.ig
  • Tomb of the Mask – com.happymagenta.fromcore
  • Tomb of the Mask: Color – com.happymagenta.totm2
  • Total Party Kill – com.adventureislands.totalpartykill
  • Watermarbling – com.hydro.dipping

Social Networking

  • TikTok – com.zhiliaoapp.musically
  • ToTalk – totalk.gofeiyu.com
  • Tok – com.SimpleDate.Tok
  • Truecaller – com.truesoftware.TrueCallerOther
  • Viber – com.viber
  • Weibo – com.sina.weibo
  • Zoosk – com.zoosk.Zoosk

Other

  • 10% Happier: Meditation -com.changecollective.tenpercenthappier
  • 5-0 Radiowy skaner policyjny – com.smartestapple.50radiofree
  • Accuweather – com.yourcompany.TestWithCustomTabs
  • AliExpress Shopping App – com.alibaba.iAliexpress
  • Bed Bath & Beyond – com.digby.bedbathbeyond
  • Dazn – com.dazn.theApp
  • Hotels.com – com.hotels.HotelsNearMe
  • Hotel Tonight – com.hoteltonight.prod
  • Overstock – com.overstock.app
  • Pigment – Adult Coloring Book – com.pixite.pigment
  • Recolor Coloring Book to Color – com.sumoing.ReColor
  • Sky Ticket – de.sky.skyonline
  • The Weather Network – com.theweathernetwork.weathereyeiphone

Wkrótce po opublikowaniu raportu, 10% Happier: Meditation and Hotel Tonight obiecał zatrzymać zachowanie i szybko zastosował się do niego. TikTik obiecał również zatrzymać został złapany angażując się w praktyce ponownie. Oto pełna lista aplikacji, które ograniczyły praktykę na dzień 30 czerwca:

News

  • ABC News – com.abcnews.ABCNews
  • Al Jazeera English – ajenglishiphone
  • CBC News – ca.cbc.CBCNews
  • CBS News – com.H443NM7F8H.CBSNews
  • ntv Nachrichten – de.n-tv.n-tvmobil

Games

  • 8 Ball Pool™ – com.miniclip.8ballpoolmult
  • AMAZE!!! – com.amaze.game
  • Klasyczne Bejeweled – com.popcap.ios.Bej3
  • Klasyczne Bejeweled HD – com.popcap.ios.Bej3HD
  • Letter Soup – com.candywriter.apollo7
  • PUBG Mobile – com.tencent.ig
  • Tomb of the Mask – com.happymagenta.fromcore
  • Tomb of the Mask: Color – com.happymagenta.totm2

Social Networking

  • TikTok – com.zhiliaoapp.musically
  • Truecaller – com.truesoftware.TrueCallerOther
  • Viber – com.viber

Other

  • 10% Happier: Meditation -com.changecollective.tenpercenthappier
  • 5-0 Radiowy skaner policyjny – com.smartestapple.50radiofree
  • Dazn – com.dazn.theApp
  • Hotels.com – com.hotels.HotelsNearMe
  • Hotel Tonight – com.hoteltonight.prod
  • Recolor Coloring Book to Color – com.sumoing.ReColor

Clipboard reading done right

W niektórych przypadkach, czytanie clipboardu może uczynić aplikacje znacznie bardziej użytecznymi. Aplikacja UPS iPhone, na przykład, pobiera tekst ze schowka, a w przypadku, gdy tekst pasuje do charakterystyki numeru monitorowania, aplikacja monituje użytkownika do śledzenia odpowiedniej paczki. Google Chrome również pobiera tekst, a jeśli jest to adres URL, zachęca użytkownika do przejścia do niego. Edytor zdjęć Pixelmator wczytuje dane tylko wtedy, gdy jest to obraz. Jeśli tak jest, Pixelmator poprosi użytkownika o otwarcie go do edycji. We wszystkich trzech przypadkach odczytywanie danych ma jasny przypadek użycia i jest przejrzyste.

TikTok i inne obraźliwe aplikacje, dla kontrastu, uzyskują dostęp do schowka bez wyraźnego powodu i bez wskazania, że to robią. Dla wielu aplikacji, trudno jest zobaczyć żadnego uzasadnionego powodu wydajności lub użyteczności dla dostępu. Mysk powiedział, że Apple planuje kredyt jego i Haj Bakry’ego badania jako katalizator dla nowego powiadomienia schowka umieścić w iOS 14.

Reklama

Czytanie schowka Haj Bakry i Mysk zgłaszane budzi obawy, które prawdopodobnie rozszerzają się na tych, którzy korzystają z systemu Android i ewentualnie innych systemów operacyjnych. Mysk powiedział, że czytanie schowka w aplikacjach na Androida jest „nawet gorzej” niż iOS, ponieważ OS API są tak dużo bardziej pobłażliwe. Do wersji 10, na przykład, Android pozwolił aplikacji działających w tle, aby przeczytać schowek. iOS aplikacje, w przeciwieństwie, może czytać lub zapytania schowek tylko wtedy, gdy aktywny (to jest, działa na pierwszym planie).

Mysk powiedział, że Apple funkcja powiadamiania jest dobry początek, ale ostatecznie, Apple i Google powinny zrobić więcej. Jedną z możliwości jest, aby dostęp do schowka standardowe uprawnienia, tak jak dostęp do mikrofonu lub aparatu jest teraz. Inną możliwością jest wymaganie od deweloperów aplikacji, aby ujawnić dokładnie, jakie dane schowka jest dostęp i co aplikacja robi z nim.

Na razie użytkownicy powinni mieć świadomość, że wszelkie dane przechowywane w schowku – pomimo tego, że jest niepozorny dla gołego oka – mogą być regularnie dostępne dla aplikacji, które w wielu przypadkach nie są nawet zainstalowane lokalnie na urządzeniu. Jeśli masz wątpliwości, wyczyść dane w schowku, kopiując znak, słowo lub inny fragment nieszkodliwych danych.

.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.