TikTok och 32 andra iOS-appar snokar fortfarande känsliga data från klippbordet

Posted by admin Articles

I mars avslöjade forskare en oroande integritetskränkning av mer än fyra dussin iOS-appar, inklusive TikTok, det kinesiskägda sociala medierna och videodelningsfenomenet som har tagit internet med storm. Trots att TikTok lovade att begränsa denna praxis fortsätter de att få tillgång till några av Apple-användarnas mest känsliga uppgifter, som kan omfatta lösenord, adresser till kryptovalutaplånböcker, länkar för återställning av konton och personliga meddelanden. Ytterligare 32 appar som identifierades i mars har inte heller slutat.

Invasionen i privatlivet är ett resultat av att apparna upprepade gånger läser all text som råkar finnas i klippblock, som datorer och andra enheter använder för att lagra data som har klippts ut eller kopierats från t.ex. lösenordshanterare och e-postprogram. Forskarna Talal Haj Bakry och Tommy Mysk fann att apparna utan någon tydlig anledning till detta medvetet anropade ett iOS-programmeringsgränssnitt som hämtar text från användarnas klippblock.

Universell snokning

I många fall är den hemliga läsningen inte begränsad till data som lagras på den lokala enheten. Om iPhone eller iPad använder samma Apple-ID som andra Apple-enheter och befinner sig inom ett avstånd på cirka tre meter från varandra, delar alla enheterna ett universellt klippblock, vilket innebär att innehåll kan kopieras från appen på en enhet och klistras in i en app som körs på en separat enhet.

Detta lämnar öppet för möjligheten att en app på en iPhone läser känsliga uppgifter på klippblocken på andra anslutna enheter. Det kan handla om bitcoin-adresser, lösenord eller e-postmeddelanden som tillfälligt lagras i klippbordet på en närliggande Mac eller iPad. Trots att iOS-apparna körs på en separat enhet kan de lätt läsa de känsliga data som lagras på de andra maskinerna.

Se mer

”Det är mycket, mycket farligt”, sade Mysk i en intervju i fredags och syftade på apparnas urskillningslösa läsning av data från klippbordet. ”De här apparna läser klippblock, och det finns ingen anledning att göra det. En app som inte har ett textfält för att skriva in text har ingen anledning att läsa text från klippbordet.”

Videon nedan visar hur universellt klippbord läses:

KlipboardSpy: Hur skadliga appar på iPhone och iPad missbrukar det universella klippbordet på din Mac.

Tillbaka i nyheterna

Men medan Haj Bakry och Mysk publicerade sin forskning i mars, gjorde de invasiva apparna rubrikerna igen den här veckan i samband med betaversionen av iOS 14 för utvecklare. En ny funktion som Apple lagt till ger en bannervarning varje gång en app läser innehållet i klippbordet. När ett stort antal personer började testa betaversionen fick de snabbt klart för sig hur många appar som ägnar sig åt detta och hur ofta de gör det.

Den här YouTube-videon, som har fått mer än 87 000 visningar sedan den publicerades i tisdags, visar ett litet urval av de appar som utlöser den nya varningen.

iOS14 fångar appar som spionerar på ditt klippblock.

TikTok i rampljuset

De senaste rubrikerna har riktat särskild uppmärksamhet mot TikTok, till stor del på grund av dess massiva bas av aktiva användare (enligt uppgift 800 miljoner, med uppskattningsvis 104 miljoner iOS-installationer bara under första halvåret 2018, vilket gör den till den mest nedladdade appen under den perioden).

TikToks fortsatta snokande har fått extra uppmärksamhet av andra skäl. När leverantören av videodelning blev uppringd i mars berättade den brittiska publikationen The Telegraph att den skulle upphöra med denna praxis under de kommande veckorna. Mysk sade att appen aldrig slutade med övervakningen. Dessutom avslöjade en Twittertråd i onsdags att avläsningen av klippbordet skedde varje gång en användare skrev in ett skiljetecken eller tryckte på mellanslagstangenten när han eller hon skrev en kommentar. Det innebär att läsningen av urklipp kan ske varje sekund eller så, en mycket aggressivare takt än vad som dokumenterades i forskningen från mars, som visade att övervakningen skedde när appen öppnades eller öppnades på nytt.

För att reproducera:
1. Ha något på ditt urklipp. T.ex. kopiera lite text från anteckningar eller en webbplats
2. Öppna TikTok och börja skriva i något textfält
3. Du lär dig från iOS 14 beta varje gång en app ”klistrar in” – men i det här fallet bad jag inte om det, och ingen av texten visas i UI

– Jeremy Burge (@jeremyburge) June 24, 2020

I ett uttalande skrev TikTok-företrädarna:

Efter beta-utgåvan av iOS14 den 22 juni fick användarna se notifikationer när de använde ett antal populära appar. För TikTok utlöstes detta av en funktion som är utformad för att identifiera upprepade, spammiga beteenden. Vi har redan skickat in en uppdaterad version av appen till App Store som tar bort anti-spam-funktionen för att eliminera eventuell förvirring.

TikTok har åtagit sig att skydda användarnas integritet och vara transparent om hur vår app fungerar. Vi ser fram emot att välkomna utomstående experter till vårt Transparency Center senare i år.

I bakgrunden sa en talesperson att TikTok för Android aldrig implementerade anti-spam-funktionen.

Jag skickade uppföljningsfrågor där jag frågade (1) om TikTok-versionen för Android övervakade klippblock av andra anledningar, (2) om någon text från klippblocket laddades upp från enheten, och (3) varför TikTok inte tog bort övervakningen som lovat i mars. Talespersonen har ännu inte svarat. Det här inlägget kommer att uppdateras om ett svar kommer senare.

Inte bara TikTok

Inalles fann forskarna att följande iOS-appar läste av användarnas data från klippbrädan varje gång appen öppnades utan att det fanns någon tydlig anledning till detta:

  • App Name – BundleID

News

  • ABC News – com.abcnews.ABCNews
  • Al Jazeera English – ajenglishiphone
  • CBC News – ca.cbc.CBCNews
  • CBS News – com.H443NM7F8H.CBSNews
  • CNBC – com.nbcuni.cnbc.cnbcrtipad
  • Fox News – com.foxnews.foxnews
  • News Break – com.particlenews.newsbreak
  • New York Times – com.nytimes.NYTimes
  • NPR – org.npr.nprnews
  • ntv Nachrichten – de.n-tv.n-tvmobil
  • Reuters – com.thomsonreuters.Reuters
  • Russia Today – com.rt.RTNewsEnglish
  • Stern Nachrichten – de.grunerundjahr.sternneu
  • The Economist – com.economist.lamarr
  • The Huffington Post – com.huffingtonpost.HuffingtonPost
  • The Wall Street Journal – com.dowjones.WSJ.ipad
  • Vice News – com.vice.news.VICE-News

Spel

  • 8 Ball Pool™ – com.miniclip.8ballpoolmult
  • AMAZE!!! – com.amaze.game
  • Bejeweled – com.ea.ios.bejeweledskies
  • Block Puzzle -Game.BlockPuzzle
  • Classic Bejeweled – com.popcap.ios.Bej3
  • Classic Bejeweled HD -com.popcap.ios.Bej3HD
  • FlipTheGun – com.playgendary.flipgun
  • Fruit Ninja – com.halfbrick.FruitNinjaLite
  • Golfmasters – com.playgendary.sportmasterstwo
  • Letter Soup – com.candywriter.apollo7
  • Love Nikki – com.elex.nikki
  • My Emma – com.crazylabs.myemma
  • Plants vs. Zombies™ Heroes – com.ea.ios.pvzheroes
  • Pooking – Billiards City – com.pool.club.billiards.city
  • PUBG Mobile – com.tencent.ig
  • Tomb of the Mask – com.happymagenta.fromcore
  • Tomb of the Mask: Color – com.happymagenta.totm2
  • Total Party Kill – com.adventureislands.totalpartykill
  • Watermarbling – com.hydro.dipping

Sociala nätverk

  • TikTok – com.zhiliaoapp.musically
  • ToTalk – totalk.gofeiyu.com
  • Tok – com.SimpleDate.Tok
  • Truecaller – com.truesoftware.TrueCallerOther
  • Viber – com.viber
  • Weibo – com.sina.weibo
  • Zoosk – com.zoosk.Zoosk

Other

  • 10% Happier: Meditation -com.changecollective.tenpercenthappier
  • 5-0 Radio Police Scanner – com.smartestapple.50radiofree
  • Accuweather – com.yourcompany.TestWithCustomTabs
  • AliExpress Shopping App – com.alibaba.iAliexpress
  • Bed Bath & Beyond – com.digby.bedbathbeyond
  • Dazn – com.dazn.theApp
  • Hotels.com – com.hotels.HotelsNearMe
  • Hotel Tonight – com.hoteltonight.prod
  • Overstock – com.overstock.app
  • Pigment – Adult Coloring Book – com.pixite.pigment
  • Recolor Coloring Book to Color – com.sumoing.ReColor
  • Sky Ticket – de.sky.skyonline
  • The Weather Network – com.theweathernetwork.weathereyeiphone

Kort efter att rapporten publicerades, 10% Happier: Meditation and Hotel Tonight lovade att stoppa beteendet och följde snabbt upp det. TikTik lovade också att sluta blev man ertappad med att ägna sig åt denna praxis igen. Här är en fullständig lista över appar som hade stoppat beteendet den 30 juni:

Nyheter

  • ABC News – com.abcnews.ABCNews
  • Al Jazeera English – ajenglishiphone
  • CBC News – ca.cbc.CBCNews
  • CBS News – com.H443NM7F8H.CBSNews
  • ntv Nachrichten – de.n-tv.n-tvmobil

Games

  • 8 Ball Pool™ – com.miniclip.8ballpoolmult
  • AMAZE!!! – com.amaze.game
  • Classic Bejeweled – com.popcap.ios.Bej3
  • Classic Bejeweled HD – com.popcap.ios.Bej3HD
  • Letter Soup – com.candywriter.apollo7
  • PUBG Mobile – com.tencent.ig
  • Tomb of the Mask – com.happymagenta.fromcore
  • Tomb of the Mask: Color – com.happymagenta.totm2

Sociala nätverk

  • TikTok – com.zhiliaoapp.musically
  • Truecaller – com.truesoftware.TrueCallerOther
  • Viber – com.viber

Annat

  • 10% Happier: Meditation -com.changecollective.tenpercenthappier
  • 5-0 Radio Police Scanner – com.smartestapple.50radiofree
  • Dazn – com.dazn.theApp
  • Hotels.com – com.hotels.HotelsNearMe
  • Hotel Tonight – com.hoteltonight.prod
  • Recolor Färgbok för att färglägga – com.sumoing.ReColor

Klippbrädavläsning gjord på rätt sätt

I vissa fall kan klippbrädavläsning göra appar mycket mer användbara. UPS iPhone-appen hämtar till exempel text från klippbordet, och om texten matchar egenskaperna hos ett spårningsnummer uppmanar appen användaren att spåra motsvarande paket. Google Chrome hämtar också text och om det är en webbadress uppmanas användaren att bläddra till den. Fotoredigeraren Pixelmator läser data endast om det är en bild. Om det är det uppmanar Pixelmator användaren att öppna den för redigering. I alla tre fallen har dataavläsningen ett tydligt användningsområde och är transparent.

TikTok och de övriga felande apparna får däremot tillgång till klippbordet utan någon tydlig anledning och utan någon indikation på att de gör det. För många appar är det svårt att se något legitimt skäl för åtkomst till prestanda eller användbarhet. Mysk sade att Apple planerar att tillgodoräkna sig hans och Haj Bakrys forskning som en katalysator för den nya klippbrädanmälan som lagts in i iOS 14.

Annons

Den läsning av klippbrädan som Haj Bakry och Mysk rapporterade väcker farhågor som troligen sträcker sig till dem som använder Android och möjligen även andra operativsystem. Mysk sade att läsning av klippbrädan i Android-appar är ”ännu värre” än iOS eftersom operativsystemets API:er är så mycket mer eftergivliga. Fram till version 10 till exempel tillät Android appar som körs i bakgrunden att läsa urklipp. iOS-appar kan däremot läsa eller fråga om urklipp endast när de är aktiva (dvs. körs i förgrunden).

Mysk sade att Apples notifieringsfunktion är en bra början, men att Apple och Google i slutändan borde göra mer. En möjlighet är att göra åtkomst till klippbordet till en standardbehörighet, precis som åtkomst till mikrofon eller kamera är nu. En annan möjlighet är att kräva att apputvecklare avslöjar exakt vilka data från klippbordet som nås och vad appen gör med dem.

För tillfället bör användarna vara medvetna om att alla data som lagras i klippbordet – trots att de är diskreta för blotta ögat – regelbundet kan nås av appar som i många fall inte ens är installerade lokalt på enheten. Om du är osäker kan du rensa data i klippbordet genom att kopiera ett tecken, ett ord eller annan ofarlig data.

Lämna ett svar

Din e-postadress kommer inte publiceras.