Em março, os pesquisadores descobriram uma preocupante tomada de privacidade por mais de quatro dúzias de aplicações iOS, incluindo TikTok, o fenômeno de mídia social e compartilhamento de vídeo de propriedade chinesa que tomou a Internet de assalto. Apesar da promessa do TikTok de restringir a prática, ele continua a acessar alguns dos dados mais sensíveis dos usuários da Apple, que podem incluir senhas, endereços de carteiras criptográficas, links de redefinição de conta e mensagens pessoais. Outros 32 aplicativos identificados em março também não pararam.
A invasão de privacidade é o resultado da leitura repetida de qualquer texto que por acaso reside em clipboards, que computadores e outros dispositivos usam para armazenar dados que foram cortados ou copiados de coisas como gerenciadores de senhas e programas de e-mail. Sem uma razão clara para isso, os pesquisadores Talal Haj Bakry e Tommy Mysk encontraram, os aplicativos deliberadamente chamaram uma interface de programação iOS que recupera texto das pranchetas dos usuários.
Inteção universal
Em muitos casos, a leitura oculta não está limitada aos dados armazenados no dispositivo local. Caso o iPhone ou iPad use a mesma ID da Apple que outros dispositivos Apple e esteja a cerca de 3 metros um do outro, todos eles compartilham uma área de transferência universal, o que significa que o conteúdo pode ser copiado da aplicação de um dispositivo e colado em uma aplicação rodando em um dispositivo separado.
Isso deixa em aberto a possibilidade de uma aplicação em um iPhone ler dados sensíveis nas áreas de transferência de outros dispositivos conectados. Isso pode incluir endereços bitcoin, senhas ou mensagens de e-mail que são temporariamente armazenadas na área de transferência de um Mac ou iPad próximo. Apesar de funcionar em um dispositivo separado, os aplicativos iOS podem ler facilmente os dados sensíveis armazenados nas outras máquinas.
“É muito, muito perigoso”, disse Mysk em uma entrevista na sexta-feira, referindo-se à leitura indiscriminada dos dados da área de transferência dos aplicativos. “Estes aplicativos estão lendo pranchetas, e não há razão para fazer isso”. Um aplicativo que tem um campo de texto para inserir texto não tem motivo para ler o texto da prancheta”
O vídeo abaixo demonstra a leitura universal da prancheta:
Back in the news
Enquanto Haj Bakry e Mysk publicaram suas pesquisas em março, os aplicativos invasivos fizeram manchetes novamente esta semana com o lançamento beta para desenvolvedores do iOS 14. Uma novidade adicionada pela Apple fornece um aviso de banner toda vez que um aplicativo lê o conteúdo da prancheta. Como um grande número de pessoas começou a testar a versão beta, elas rapidamente perceberam quantos aplicativos se envolveram na prática e quantas vezes o fizeram.
Este vídeo do YouTube, que já teve mais de 87.000 visualizações desde que foi postado na terça-feira, mostra uma pequena amostra dos aplicativos acionando o novo aviso.
TikTok em destaque
Manchetes recentes têm focado particular atenção no TikTok, em grande parte por causa de sua base massiva de usuários ativos (reportada como sendo de 800 milhões, com uma estimativa de 104 milhões de instalações de iOS somente na primeira metade de 2018, tornando-o o aplicativo mais baixado para aquele período).
A bisbilhotice continuada do TikTok tem recebido um escrutínio extra por outras razões. Quando foi chamado em março, o provedor de compartilhamento de vídeo disse à publicação britânica The Telegraph que terminaria a prática nas próximas semanas. Mysk disse que o aplicativo nunca parou o monitoramento. Além disso, um tópico de quarta-feira no Twitter revelou que a leitura do clipboard ocorria cada vez que um usuário introduzia um ponto de pontuação ou tocava na barra de espaço enquanto compunha um comentário. Isso significa que a leitura da área de transferência pode acontecer a cada segundo ou mais, um ritmo muito mais agressivo do que o documentado na pesquisa de março, que descobriu que o monitoramento aconteceu quando o aplicativo foi aberto ou reaberto.
Para reproduzir:
1. Tenha algo em sua área de transferência. Por exemplo, copie algum texto de Notas ou de um website
2. Abra o TikTok e comece a digitar em qualquer campo de texto
3. Você aprende do iOS 14 beta cada vez que um aplicativo “cola” – mas neste caso eu não pedi, e nenhum desse texto aparece no UI– Jeremy Burge (@jeremyburge) 24 de junho de 2020
Em uma declaração, representantes do TikTok escreveram:
>>4741 Seguindo a versão beta do iOS14 em 22 de junho, os usuários viram notificações enquanto usavam um número de aplicativos populares. Para TikTok, isso foi acionado por um recurso projetado para identificar comportamentos repetitivos de spam. Nós já enviamos uma versão atualizada do aplicativo para a App Store removendo o recurso anti-spam para eliminar qualquer potencial confusão.
TikTok está comprometido em proteger a privacidade dos usuários e ser transparente sobre como nosso aplicativo funciona. Esperamos receber especialistas externos em nosso Centro de Transparência ainda este ano.
Em segundo plano, um porta-voz disse que o TikTok para Android nunca implementou o recurso anti-spam.
Eu enviei perguntas de acompanhamento perguntando (1) se a versão do TikTok para as pranchetas monitoradas do Android por qualquer outro motivo, (2) se algum texto da prancheta foi carregado do dispositivo, e (3) porque o TikTok não removeu o monitoramento como prometido em março. O porta-voz ainda tem que responder. Este post será atualizado se uma resposta vier mais tarde.
Não apenas TikTok
No total, os pesquisadores encontraram os seguintes aplicativos iOS estavam lendo os dados da área de transferência dos usuários toda vez que o aplicativo era aberto sem uma razão clara para fazê-lo:
- Nome do aplicativo – BundleID
Notícias
- ABC News – com.abcnews.ABCNews
- Al Jazeera English – ajenglishiphone
- CBC News – ca.cbc.CBCNews
- CBS News – com.H443NM7F8H.CBSNews
- CNBC – com.nbcuni.cnbc.cnbcrtipad
- Fox News – com.foxnews.foxnews
- News Break – com.particlenews.Newsbreak
- New York Times – com.nytimes.NYTimes
- NPR – org.npr.nprnews
- ntv Nachrichten – de.n-tv.n-tvmobil
- Reuters – com.thomsonreuters.Reuters
- Russia Today – com.rt.RTNewsInglês
- Stern Nachrichten – de.grunerundjahr.sternneu
- The Economist – com.economist.lamarr
- The Huffington Post – com.huffingtonpost.HuffingtonPost
- The Wall Street Journal – com.dowjones.WSJ.ipad
- Vice News – com.vice.news.VICE-News
Games
- 8 Ball Pool™ – com.miniclip.8ballpoolmult
- AMAZE!!! – com.amaze.game
- Bejeweled – com.ea.ios.bejeweledskies
- Block Puzzle -Game.BlockPuzzle
- Classic Bejeweled – com.popcap.ios.Bej3
- Classic Bejeweled HD -com.popcap.ios.Bej3HD
- FlipTheGun – com.playgendary.flipgun
- Fruit Ninja – com.halfbrick.FruitNinjaLite
- Golfmasters – com.playgendary.sportmasterstwo
- Sopa de letras – com.candywriter.apollo7
- Love Nikki – com.elex.nikki
- My Emma – com.crazylabs.myemma
- Plantas vs. Zombies™ Heroes – com.ea.ios.pvzheroes
- Pooking – Billiards City – com.pool.club.billiards.city
- PUBG Mobile – com.tencent.ig
- Tumba da Máscara – com.happymagenta.fromcore
- Tumba da Máscara: Cor – com.happymagenta.totm2
- Total Party Kill – com.adventureislands.totalpartykill
- Watermarbling – com.hydro.dipping
Social Networking
- TikTok – com.zhiliaoapp.musically
- ToTalk – totalk.gofeiyu.com
- Tok – com.SimpleDate.Tok
- Truecaller – com.truesoftware.TrueCallerOther
- Viber – com.viber
- Weibo – com.sina.weibo
- Zoosk – com.zoosk.Zoosk
Outros
- 10% Mais feliz: Meditação -com.changecollective.tenpercenthappier
- 5-0 Radio Police Scanner – com.smartestapple.50radiofree
- Accuweather – com.yourcompany.TestWithCustomTabs
- AliExpress Shopping App – com.alibaba.iAliexpress
- Bed Bath & Beyond – com.digby.bedbathbeyond
- Dazn – com.dazn.theApp
- Hotels.com – com.hotels.HotelsNearMe
- Hotel Tonight – com.hoteltonight.prod
- Overstock – com.overtock.app
- Pigmento – Livro de coloração para adultos – com.pixite.pigment
- Livro de coloração para cores – com.sumoing.ReColor
- Sky Ticket – de.sky.skyonline
- The Weather Network – com.theweathernetwork.weathereyeiphone
Pouco depois do relatório ter sido publicado, 10% Mais Feliz: Meditação e Hotel Esta noite prometeu parar o comportamento e segui-lo rapidamente. TikTik também prometeu parar de se envolver na prática novamente. Aqui está a lista completa de aplicações que tinham restringido a prática até 30 de junho:
News
- ABC News – com.abcnews.ABCNews
- Al Jazeera English – ajenglishiphone
- CBC News – ca.cbc.CBCNews
- CBS News – com.H443NM7F8H.CBSNews
- ntv Nachrichten – de.n-tv.n-tvmobil
Games
- 8 Ball Pool™ – com.miniclip.8ballpoolmult
- AMAZE!!! – com.amaze.game
- Classic Bejeweled – com.popcap.ios.Bej3
- Classic Bejeweled HD – com.popcap.ios.Bej3HD
- Letter Soup – com.candywriter.apollo7
- PUBG Mobile – com.tencent.ig
- Tumba da Máscara – com.happymagenta.fromcore
- Tumba da Máscara: Cor – com.happymagenta.totm2
Rede Social
- TikTok – com.zhiliaoapp.musically
- Truecaller – com.truesoftware.TrueCallerOther
- Viber – com.viber
Other
- 10% Happier: Meditação -com.changecollective.tenpercenthappier
- 5-0 Radio Police Scanner – com.smartestapple.50radiofree
- Dazn – com.dazn.theApp
- Hotels.com – com.hotels.HotelsNearMe
- Hotel Tonight – com.hoteltonight.prod
- Recolor Coloring Book to Color – com.sumoing.ReColor
Leitura da prancheta feita corretamente
Em alguns casos, a leitura da prancheta pode tornar os aplicativos muito mais úteis. O aplicativo para iPhone da UPS, por exemplo, retira texto da área de transferência e, caso o texto corresponda às características de um número de rastreamento, o aplicativo solicita que o usuário rastreie o pacote correspondente. O Google Chrome também puxa o texto e, no caso de ser um URL, solicitará que o usuário navegue até ele. O editor de fotos do Pixelmator só lê os dados se for uma imagem. Se for, o Pixelmator solicitará ao usuário que o abra para edição. Nos três casos, a leitura dos dados tem um caso de uso claro e é transparente.
TikTok e os outros aplicativos ofensivos, ao contrário, acessam a área de transferência sem nenhuma razão clara e sem nenhuma indicação de que estão fazendo isso. Para muitos aplicativos, é difícil ver qualquer motivo legítimo de desempenho ou de usabilidade para o acesso. Mysk disse que a Apple planeja creditar sua pesquisa e a de Haj Bakry como um catalisador para a nova notificação da área de transferência colocada no iOS 14.
A leitura da área de transferência relatada por Haj Bakry e Mysk levanta preocupações que provavelmente se estendem àqueles que usam o Android e possivelmente outros sistemas operacionais. Mysk disse que a leitura da área de transferência em aplicativos Android é “ainda pior” do que o iOS porque as APIs do SO são muito mais permissivas. Até a versão 10, por exemplo, o Android permitia que aplicativos rodando em segundo plano lessem a área de transferência. Os aplicativos iOS, ao contrário, só podem ler ou consultar as áreas de transferência quando ativos (ou seja, rodando em primeiro plano).
Mysk disse que o recurso de notificação da Apple é um bom começo, mas, em última análise, a Apple e o Google devem fazer mais. Uma possibilidade é fazer do acesso à prancheta uma permissão padrão, assim como o acesso a um microfone ou câmera é agora. Outra possibilidade é exigir que os desenvolvedores de aplicativos divulguem exatamente quais dados da área de transferência são acessados e o que o aplicativo faz com eles.
Por enquanto, os usuários devem ficar cientes de que qualquer dado armazenado na área de transferência – apesar de não ser visível a olho nu – pode ser acessado regularmente por aplicativos que, em muitos casos, nem mesmo são instalados localmente no dispositivo. Em caso de dúvida, limpe os dados da área de transferência copiando um personagem, palavra ou outro dado inócuo.