TikTok și alte 32 de aplicații pentru iOS încă vă cotrobăie datele sensibile din clipboard

Posted by admin Articles

În martie, cercetătorii au descoperit o captură îngrijorătoare de confidențialitate de către mai mult de patru duzini de aplicații pentru iOS, inclusiv TikTok, fenomenul de socializare și partajare video deținut de chinezi care a luat cu asalt internetul. În ciuda faptului că TikTok a promis că va reduce această practică, continuă să acceseze unele dintre cele mai sensibile date ale utilizatorilor Apple, care pot include parole, adrese de portofele de criptomonede, linkuri de resetare a contului și mesaje personale. Nici alte 32 de aplicații identificate în martie nu s-au oprit.

Invazia în viața privată este rezultatul citirii repetate de către aplicații a oricărui text care se întâmplă să se afle în clipboard-uri, pe care computerele și alte dispozitive le folosesc pentru a stoca date care au fost tăiate sau copiate din lucruri precum managerii de parole și programele de e-mail. Fără un motiv clar pentru a face acest lucru, au descoperit cercetătorii Talal Haj Bakry și Tommy Mysk, aplicațiile au apelat în mod deliberat la o interfață de programare iOS care recuperează textul din clipboard-urile utilizatorilor.

Scoping universal

În multe cazuri, citirea ascunsă nu se limitează la datele stocate pe dispozitivul local. În cazul în care iPhone sau iPad utilizează același ID Apple ca și alte dispozitive Apple și se află la o distanță de aproximativ 3 metri unul de celălalt, toate acestea împart un clipboard universal, ceea ce înseamnă că conținutul poate fi copiat din aplicația unui dispozitiv și lipit într-o aplicație care rulează pe un dispozitiv separat.

Aceasta lasă deschisă posibilitatea ca o aplicație de pe un iPhone să citească datele sensibile din clipboard-urile altor dispozitive conectate. Acestea ar putea include adrese de bitcoin, parole sau mesaje de e-mail care sunt stocate temporar în clipboard-ul unui Mac sau iPad din apropiere. În ciuda faptului că rulează pe un dispozitiv separat, aplicațiile iOS pot citi cu ușurință datele sensibile stocate pe celelalte aparate.

Vezi mai mult

„Este foarte, foarte periculos”, a declarat Mysk într-un interviu acordat vineri, referindu-se la citirea fără discernământ a datelor din clipboard de către aplicații. „Aceste aplicații citesc clipboard-uri și nu există niciun motiv pentru a face acest lucru. O aplicație care nu are un câmp de text pentru a introduce text nu are niciun motiv să citească textul din clipboard.”

Video-ul de mai jos demonstrează citirea clipboard-ului universal:

KlipboardSpy: How malicious apps on iPhone and iPad abuse the Universal Clipboard on your Mac.

Din nou în actualitate

În timp ce Haj Bakry și Mysk și-au publicat cercetările în martie, aplicațiile invazive au ajuns din nou pe prima pagină a ziarelor săptămâna aceasta, odată cu lansarea versiunii beta pentru dezvoltatori a iOS 14. O funcție inedită adăugată de Apple oferă un banner de avertizare de fiecare dată când o aplicație citește conținutul clipboard-ului. Pe măsură ce un număr mare de persoane au început să testeze versiunea beta, acestea au ajuns rapid să aprecieze cât de multe aplicații se angajează în această practică și cât de des o fac.

Acest videoclip de pe YouTube, care a adunat peste 87.000 de vizualizări de când a fost postat marți, arată un mic eșantion de aplicații care declanșează noul avertisment.

iOS14 Catches Apps Spying on Your Clipboard.

TikTok în lumina reflectoarelor

Principalele titluri recente au atras o atenție deosebită asupra TikTok, în mare parte din cauza bazei sale masive de utilizatori activi (despre care se spune că ar fi de 800 de milioane, cu un număr estimat de 104 milioane de instalări pe iOS numai în prima jumătate a anului 2018, ceea ce o face să fie cea mai descărcată aplicație pentru acea perioadă).

Spionajul continuu al TikTok a primit o examinare suplimentară din alte motive. Când a fost atenționat în martie, furnizorul de partajare video a declarat publicației britanice The Telegraph că va pune capăt acestei practici în următoarele săptămâni. Mysk a declarat că aplicația nu a oprit niciodată monitorizarea. Mai mult, o discuție de miercuri de pe Twitter a dezvăluit că citirea clipboard-ului avea loc de fiecare dată când un utilizator introducea un semn de punctuație sau atingea bara de spațiu în timp ce compunea un comentariu. Asta înseamnă că citirea clipboard-ului poate avea loc la fiecare secundă sau cam așa ceva, un ritm mult mai agresiv decât cel documentat în cercetarea din martie, care a constatat că monitorizarea avea loc atunci când aplicația era deschisă sau redeschisă.

Pentru a reproduce:
1. Aveți ceva în clipboard. De exemplu, copiați un text din Notes sau de pe un site web
2. Deschideți TikTok și începeți să scrieți în orice câmp de text
3. Aflați din iOS 14 beta de fiecare dată când o aplicație „lipește” – dar în acest caz nu am cerut-o și niciunul dintre acele texte nu apare în UI

– Jeremy Burge (@jeremyburge) June 24, 2020

Într-o declarație, reprezentanții TikTok au scris:

În urma lansării versiunii beta a iOS14 pe 22 iunie, utilizatorii au văzut notificări în timp ce foloseau o serie de aplicații populare. Pentru TikTok, acest lucru a fost declanșat de o funcție menită să identifice comportamentele repetitive, de tip spam. Am trimis deja o versiune actualizată a aplicației către App Store, eliminând funcția anti-spam pentru a elimina orice potențială confuzie.

TikTok se angajează să protejeze confidențialitatea utilizatorilor și să fie transparentă cu privire la modul în care funcționează aplicația noastră. Așteptăm cu nerăbdare să primim experți externi la Centrul nostru de transparență mai târziu în acest an.

Pe fundal, un purtător de cuvânt a declarat că TikTok pentru Android nu a implementat niciodată funcția anti-spam.

Am trimis întrebări de urmărire întrebând (1) dacă versiunea TikTok pentru Android a monitorizat clipboard-urile din orice alt motiv, (2) dacă a fost încărcat vreun text din clipboard de pe dispozitiv și (3) de ce TikTok nu a eliminat monitorizarea așa cum a promis în martie. Purtătorul de cuvânt nu a răspuns încă. Această postare va fi actualizată dacă un răspuns va veni ulterior.

Nu doar TikTok

În total, cercetătorii au descoperit că următoarele aplicații iOS citeau datele din clipboard ale utilizatorilor de fiecare dată când aplicația era deschisă, fără un motiv clar pentru a face acest lucru:

  • App Name – BundleID

News

  • ABC News – com.abcnews.ABCNews
  • Al Jazeera English – ajenglishiphone
  • CBC News – ca.cbc.CBCNews
  • CBS News – com.H443NM7F8H.CBSNews
  • CNBC – com.nbcuni.cnbc.cnbcrtipad
  • Fox News – com.foxnews.foxnews
  • News Break – com.particlenews.newsbreak
  • New York Times – com.nytimes.NYTimes
  • NPR – org.npr.nprnews
  • ntv Nachrichten – de.n-tv.n-tvmobil
  • Reuters – com.thomsonreuters.Reuters
  • Russia Today – com.rt.RTNewsEnglish
  • Stern Nachrichten – de.grunerundjahr.sternneu
  • The Economist – com.economist.lamarr
  • The Huffington Post – com.huffingtonpost.HuffingtonPost
  • The Wall Street Journal – com.dowjones.WSJ.ipad
  • Vice News – com.vice.news.VICE-News

Games

  • 8 Ball Pool™ – com.miniclip.8ballpoolmult
  • AMAZE!!! – com.amaze.game
  • Bejeweled – com.ea.ios.bejeweledskies
  • Puzzle cu blocuri -Game.BlockPuzzle
  • Classic Bejeweled – com.popcap.ios.Bej3
  • Classic Bejeweled HD -com.popcap.ios.Bej3HD
  • FlipTheGun – com.playgendary.flipgun
  • Fruit Ninja – com.halfbrick.FruitNinjaLite
  • Golfmasters – com.playgendary.sportmasterstwo
  • Letter Soup – com.candywriter.apollo7
  • Love Nikki – com.elex.nikki
  • My Emma – com.crazylabs.myemma
  • Plants vs. Zombies™ Heroes – com.ea.ios.pvzheroes
  • Pooking – Billiards City – com.pool.club.billiards.city
  • PUBG Mobile – com.tencent.ig
  • Tomb of the Mask – com.happymagenta.fromcore
  • Tomb of the Mask: Color – com.happymagenta.totm2
  • Total Party Kill – com.adventureislands.totalpartykill
  • Watermarbling – com.hydro.dipping

Rețele sociale

  • TikTok – com.zhiliaoapp.musically
  • ToTalk – totalk.gofeiyu.com
  • Tok – com.SimpleDate.Tok
  • Truecaller – com.truesoftware.TrueCallerOther
  • Viber – com.viber
  • Weibo – com.sina.weibo
  • Zoosk – com.zoosk.Zoosk

Other

  • 10% Happier: Meditație -com.changecollective.tenpercenthappier
  • 5-0 Radio Police Scanner – com.smartestapple.50radiofree
  • Accuweather – com.yourcompany.TestWithCustomTabs
  • AliExpress Shopping App – com.alibaba.iAliexpress
  • Bed Bath & Beyond – com.digby.bedbathbeyond
  • Digby.bedbathbeyond
  • Dazn – com.dazn.theApp
  • Hotels.com – com.hotels.HotelsNearMe
  • Hotel Tonight – com.hoteltonight.prod
  • Overstock – com.overstock.app
  • Pigment – Carte de colorat pentru adulți – com.pixite.pigment
  • Carte de colorat Recolor pentru a colora – com.sumoing.ReColor
  • Sky Ticket – de.sky.skyonline
  • The Weather Network – com.theweathernetwork.weathereyeiphone

La scurt timp după ce raportul a fost publicat, 10% mai fericiți: Meditation and Hotel Tonight a promis că va pune capăt acestui comportament și a dat rapid curs acestei promisiuni. TikTik a promis, de asemenea, că va înceta a fost prins implicându-se din nou în această practică. Iată lista completă a aplicațiilor care au pus frână practicii la data de 30 iunie:

Știri

  • ABC News – com.abcnews.ABCNews
  • Al Jazeera English – ajenglishiphone
  • CBC News – ca.cbc.CBCNews
  • CBS News – com.H443NM7F8H.CBSNews
  • ntv Nachrichten – de.n-tv.n-tvmobil

Games

  • 8 Ball Pool™ – com.miniclip.8ballpoolmult
  • AMAZE!!! – com.amaze.game
  • Classic Bejeweled – com.popcap.ios.Bej3
  • Classic Bejeweled HD – com.popcap.ios.Bej3HD
  • Supă de litere – com.popcap.ios.Bej3HD
  • Supă de litere – com.candywriter.apollo7
  • PUBG Mobile – com.tencent.ig
  • Tomb of the Mask – com.happymagenta.fromcore
  • Tomb of the Mask: Color – com.happymagenta.totm2

Rețele sociale

  • TikTok – com.zhiliaoapp.musically
  • Truecaller – com.truesoftware.TrueCallerOther
  • Viber – com.viber

Other

  • 10% Happier: Meditație -com.changecollective.tenpercenthappier
  • 5-0 Radio Police Scanner – com.smartestapple.50radiofree
  • Dazn – com.dazn.theApp
  • Hotels.com – com.hotels.HotelsNearMe
  • Hotel Tonight – com.hoteltonight.prod
  • Recolor Coloring Book to Color – com.sumoing.ReColor

Clipboard reading done right

În unele cazuri, clipboard reading poate face aplicațiile mult mai utile. Aplicația UPS pentru iPhone, de exemplu, extrage un text din clipboard și, în cazul în care textul se potrivește cu caracteristicile unui număr de urmărire, aplicația îl invită pe utilizator să urmărească pachetul corespunzător. Google Chrome extrage, de asemenea, un text și, în cazul în care este vorba de un URL, îi va solicita utilizatorului să navigheze către acesta. Editorul foto Pixelmator citește datele doar dacă este vorba de o imagine. În cazul în care este, Pixelmator va solicita utilizatorului să o deschidă pentru editare. În toate cele trei cazuri, citirea datelor are un caz de utilizare clar și este transparentă.

TikTok și celelalte aplicații incriminate, în schimb, accesează clipboard-ul fără un motiv clar și fără a indica faptul că fac acest lucru. Pentru multe aplicații, este greu de văzut vreun motiv legitim de performanță sau de utilizare pentru acest acces. Mysk a declarat că Apple intenționează să crediteze cercetările sale și ale lui Haj Bakry ca fiind un catalizator pentru noua notificare privind clipboard-ul introdusă în iOS 14.

Publicitate

Citerea clipboard-ului pe care Haj Bakry și Mysk au raportat-o ridică îngrijorări care probabil se extind la cei care folosesc Android și, posibil, alte sisteme de operare. Mysk a declarat că citirea clipboard-ului în aplicațiile Android este „chiar mai rău” decât în iOS, deoarece API-urile sistemului de operare sunt mult mai permisive. Până la versiunea 10, de exemplu, Android permitea aplicațiilor care rulează în fundal să citească clipboard-ul. Aplicațiile iOS, în schimb, pot citi sau interoga clipboard-urile doar atunci când sunt active (adică atunci când rulează în prim-plan).

Mysk a spus că funcția de notificare a Apple este un început bun, dar, în cele din urmă, Apple și Google ar trebui să facă mai mult. O posibilitate este de a face din accesul la clipboard o permisiune standard, așa cum este acum accesul la microfon sau la camera foto. O altă posibilitate este de a cere dezvoltatorilor de aplicații să dezvăluie cu exactitate ce date din clipboard sunt accesate și ce face aplicația cu ele.

Pentru moment, utilizatorii ar trebui să rămână conștienți de faptul că orice date stocate în clipboard – în ciuda faptului că nu sunt vizibile cu ochiul liber – pot fi accesate în mod regulat de aplicații care, în multe cazuri, nici măcar nu sunt instalate local pe dispozitiv. Atunci când aveți îndoieli, spălați datele din clipboard copiind un caracter, un cuvânt sau o altă bucată de date inofensive.

.

Lasă un răspuns

Adresa ta de email nu va fi publicată.