En marzo, los investigadores descubrieron un preocupante acaparamiento de la privacidad por parte de más de cuatro docenas de aplicaciones de iOS, entre las que se encuentra TikTok, el fenómeno de redes sociales y de intercambio de vídeos de propiedad china que ha arrasado en Internet. A pesar de que TikTok ha prometido poner freno a esta práctica, sigue accediendo a algunos de los datos más sensibles de los usuarios de Apple, que pueden incluir contraseñas, direcciones de carteras de criptomonedas, enlaces para restablecer cuentas y mensajes personales. Otras 32 aplicaciones identificadas en marzo tampoco han dejado de hacerlo.
La invasión de la privacidad es el resultado de que las aplicaciones lean repetidamente cualquier texto que se encuentre en los portapapeles, que los ordenadores y otros dispositivos utilizan para almacenar datos que han sido recortados o copiados de cosas como gestores de contraseñas y programas de correo electrónico. Los investigadores Talal Haj Bakry y Tommy Mysk descubrieron que, sin una razón clara para hacerlo, las aplicaciones llaman deliberadamente a una interfaz de programación de iOS que recupera el texto de los portapapeles de los usuarios.
Espionaje universal
En muchos casos, la lectura encubierta no se limita a los datos almacenados en el dispositivo local. En caso de que el iPhone o el iPad utilicen el mismo ID de Apple que otros dispositivos de la marca y se encuentren a una distancia aproximada de 3 metros entre sí, todos ellos comparten un portapapeles universal, lo que significa que los contenidos pueden copiarse desde la aplicación de un dispositivo y pegarse en una aplicación que se ejecute en otro dispositivo.
Eso deja abierta la posibilidad de que una aplicación en un iPhone lea datos sensibles en los portapapeles de otros dispositivos conectados. Esto podría incluir direcciones de bitcoin, contraseñas o mensajes de correo electrónico que se almacenan temporalmente en el portapapeles de un Mac o iPad cercano. A pesar de ejecutarse en un dispositivo independiente, las apps de iOS pueden leer fácilmente los datos sensibles almacenados en las otras máquinas.
«Es muy, muy peligroso», dijo Mysk en una entrevista el viernes, refiriéndose a la lectura indiscriminada de datos del portapapeles por parte de las apps. «Estas aplicaciones están leyendo portapapeles, y no hay ninguna razón para hacerlo. Una aplicación que no tiene un campo de texto para introducir texto no tiene ninguna razón para leer el texto del portapapeles».
El siguiente vídeo demuestra la lectura del portapapeles universal:
De nuevo en las noticias
Si bien Haj Bakry y Mysk publicaron su investigación en marzo, las apps invasivas volvieron a ser noticia esta semana con el lanzamiento de la beta para desarrolladores de iOS 14. Una novedosa función que Apple ha añadido ofrece un banner de advertencia cada vez que una aplicación lee el contenido del portapapeles. A medida que un gran número de personas comenzó a probar la versión beta, rápidamente se dieron cuenta de cuántas aplicaciones realizan esta práctica y con qué frecuencia lo hacen.
Este vídeo de YouTube, que ha acumulado más de 87.000 visitas desde que se publicó el martes, muestra una pequeña muestra de las aplicaciones que activan la nueva advertencia.
TikTok en el punto de mira
Los últimos titulares han centrado especialmente la atención en TikTok, en gran parte debido a su enorme base de usuarios activos (que, según los informes, asciende a 800 millones, con una estimación de 104 millones de instalaciones en iOS solo en la primera mitad de 2018, lo que la convierte en la app más descargada en ese periodo).
El continuo fisgoneo de TikTok ha obtenido un escrutinio extra por otras razones. Cuando se le llamó la atención en marzo, el proveedor de vídeos compartidos dijo a la publicación británica The Telegraph que pondría fin a esta práctica en las próximas semanas. Mysk dijo que la aplicación nunca dejó de vigilar. Además, un hilo de Twitter del miércoles reveló que la lectura del portapapeles se producía cada vez que un usuario introducía un signo de puntuación o pulsaba la barra espaciadora al redactar un comentario. Esto significa que la lectura del portapapeles puede producirse cada segundo aproximadamente, un ritmo mucho más agresivo que el documentado en la investigación de marzo, que descubrió que la monitorización se producía al abrir o reabrir la aplicación.
Para reproducirlo:
1. Ten algo en tu portapapeles. Por ejemplo, copia algún texto de Notas o de una web
2. Abre TikTok y empieza a escribir en cualquier campo de texto
3. Aprendes de iOS 14 beta cada vez que una app «pega» – pero en este caso no lo solicité, y nada de ese texto aparece en UI– Jeremy Burge (@jeremyburge) June 24, 2020
En un comunicado, los representantes de TikTok escribieron:
Tras el lanzamiento de la beta de iOS14 el 22 de junio, los usuarios vieron notificaciones mientras usaban una serie de apps populares. En el caso de TikTok, esto fue provocado por una función diseñada para identificar comportamientos repetitivos y de spam. Ya hemos enviado una versión actualizada de la aplicación a la App Store eliminando la función anti-spam para eliminar cualquier posible confusión.
TikTok se compromete a proteger la privacidad de los usuarios y a ser transparente sobre el funcionamiento de nuestra aplicación. Esperamos dar la bienvenida a expertos externos a nuestro Centro de Transparencia a finales de este año.
En segundo plano, un portavoz dijo que TikTok para Android nunca implementó la función anti-spam.
Envié preguntas de seguimiento preguntando (1) si la versión de TikTok para Android monitorizaba los portapapeles por alguna otra razón, (2) si se subía algún texto del portapapeles desde el dispositivo, y (3) por qué TikTok no eliminó la monitorización como prometió en marzo. El portavoz aún no ha respondido. Este post se actualizará si llega una respuesta más tarde.
No solo TikTok
En total, los investigadores descubrieron que las siguientes aplicaciones de iOS leían los datos del portapapeles de los usuarios cada vez que se abría la aplicación sin una razón clara para hacerlo:
- Nombre de la aplicación – BundleID
Noticias
- ABC News – com.abcnews.ABCNews
- Al Jazeera English – ajenglishiphone
- CBC News – ca.cbc.CBCNews
- CBS News – com.H443NM7F8H.CBSNews
- CNBC – com.nbcuni.cnbc.cnbcrtipad
- Fox News – com.foxnews.foxnews
- News Break – com.particlenews.newsbreak
- New York Times – com.nytimes.NYTimes
- NPR – org.npr.nprnews
- ntv Nachrichten – de.n-tv.n-tvmobil
- Reuters – com.thomsonreuters.Reuters
- Russia Today – com.rt.RTNewsEnglish
- Stern Nachrichten – de.grunerundjahr.sternneu
- The Economist – com.economist.lamarr
- The Huffington Post – com.huffingtonpost.HuffingtonPost
- The Wall Street Journal – com.dowjones.WSJ.ipad
- Vice News – com.vice.news.VICE-News
Juegos
- 8 Ball Pool™ – com.miniclip.8ballpoolmult
- ¡¡¡AMAZE!!! – com.amaze.game
- Bejeweled – com.ea.ios.bejeweledskies
- Puzzle de bloques -Game.BlockPuzzle
- Classic Bejeweled – com.popcap.ios.Bej3
- Classic Bejeweled HD -com.popcap.ios.Bej3HD
- FlipTheGun – com.playgendary.flipgun
- Fruit Ninja – com.halfbrick.FruitNinjaLite
- Golfmasters – com.playgendary.sportmasterstwo
- Letter Soup – com.candywriter.apollo7
- Love Nikki – com.elex.nikki
- My Emma – com.crazylabs.myemma
- Plants vs. Zombies™ Heroes – com.ea.ios.pvzheroes
- Pooking – Billiards City – com.pool.club.billiards.city
- PUBG Mobile – com.tencent.ig
- Tomb of the Mask – com.happymagenta.fromcore
- Tomb of the Mask: Color – com.happymagenta.totm2
- Total Party Kill – com.adventureislands.totalpartykill
- Watermarbling – com.hydro.dipping
Redes sociales
- TikTok – com.zhiliaoapp.musically
- ToTalk – totalk.gofeiyu.com
- Tok – com.SimpleDate.Tok
- Truecaller – com.truesoftware.TrueCallerOther
- Viber – com.viber
- Weibo – com.sina.weibo
- Zoosk – com.zoosk.Zoosk
Otro
- 10% Happier: Meditación -com.changecollective.tenpercenthappier
- 5-0 Radio Police Scanner – com.smartestapple.50radiofree
- Accuweather – com.yourcompany.TestWithCustomTabs
- AliExpress Shopping App – com.alibaba.iAliexpress
- Bed Bath & Beyond – com.digby.bedbathbeyond
- Dazn – com.dazn.theApp
- Hotels.com – com.hotels.HotelsNearMe
- Hotel Tonight – com.hoteltonight.prod
- Overstock – com.overstock.app
- Pigment – Adult Coloring Book – com.pixite.pigment
- Recolor Coloring Book to Color – com.sumoing.ReColor
- Sky Ticket – de.sky.skyonline
- The Weather Network – com.theweathernetwork.weathereyeiphone
Poco después de la publicación del informe, 10% Happier: Meditation y Hotel Tonight prometieron poner fin a este comportamiento y lo cumplieron rápidamente. TikTik también prometió dejar de ser sorprendida realizando esta práctica de nuevo. Aquí está la lista completa de las aplicaciones que habían frenado la práctica a partir del 30 de junio:
Noticias
- ABC News – com.abcnews.ABCNews
- Al Jazeera English – ajenglishiphone
- CBC News – ca.cbc.CBCNews
- CBS News – com.H443NM7F8H.CBSNews
- ntv Nachrichten – de.n-tv.n-tvmobil
Games
- 8 Ball Pool™ – com.miniclip.8ballpoolmult
- ¡¡¡AMAZE!!! – com.amaze.game
- Classic Bejeweled – com.popcap.ios.Bej3
- Classic Bejeweled HD – com.popcap.ios.Bej3HD
- Letter Soup – com.candywriter.apollo7
- PUBG Mobile – com.tencent.ig
- Tomb of the Mask – com.happymagenta.fromcore
- Tomb of the Mask: Color – com.happymagenta.totm2
Redes sociales
- TikTok – com.zhiliaoapp.musically
- Truecaller – com.truesoftware.TrueCallerOther
- Viber – com.viber
Other
- 10% Happier: Meditación -com.changecollective.tenpercenthappier
- 5-0 Radio Police Scanner – com.smartestapple.50radiofree
- Dazn – com.dazn.theApp
- Hotels.com – com.hotels.HotelsNearMe
- Hotel Tonight – com.hoteltonight.prod
- Recolor Coloring Book to Color – com.sumoing.ReColor
La lectura del portapapeles bien hecha
En algunos casos, la lectura del portapapeles puede hacer que las aplicaciones sean mucho más útiles. La aplicación de UPS para iPhone, por ejemplo, extrae texto del portapapeles y, en caso de que el texto coincida con las características de un número de seguimiento, la aplicación pide al usuario que rastree el paquete correspondiente. Google Chrome también extrae texto y, en caso de que sea una URL, pide al usuario que navegue hasta ella. El editor de fotos Pixelmator lee los datos sólo si se trata de una imagen. Si lo es, Pixelmator pedirá al usuario que la abra para editarla. En los tres casos, la lectura de datos tiene un caso de uso claro y es transparente.
TikTok y las otras aplicaciones infractoras, por el contrario, acceden al portapapeles sin una razón clara y sin indicación de que lo están haciendo. Para muchas aplicaciones, es difícil ver alguna razón legítima de rendimiento o usabilidad para el acceso. Mysk dijo que Apple planea acreditar su investigación y la de Haj Bakry como un catalizador para la nueva notificación del portapapeles puesta en iOS 14.
La lectura del portapapeles de la que informaron Haj Bakry y Mysk plantea preocupaciones que probablemente se extienden a los que utilizan Android y posiblemente otros sistemas operativos. Mysk dijo que la lectura del portapapeles en las aplicaciones de Android es «incluso peor» que en iOS porque las API del sistema operativo son mucho más permisivas. Hasta la versión 10, por ejemplo, Android permitía que las aplicaciones que se ejecutaban en segundo plano leyeran el portapapeles. Las aplicaciones de iOS, por el contrario, sólo pueden leer o consultar el portapapeles cuando están activas (es decir, cuando se ejecutan en primer plano).
Mysk dijo que la función de notificación de Apple es un buen comienzo pero, en última instancia, Apple y Google deberían hacer más. Una posibilidad es hacer que el acceso al portapapeles sea un permiso estándar, como lo es ahora el acceso al micrófono o a la cámara. Otra posibilidad es exigir a los desarrolladores de aplicaciones que revelen con precisión a qué datos del portapapeles se accede y qué hace la aplicación con ellos.
Por ahora, los usuarios deben ser conscientes de que cualquier dato almacenado en el portapapeles -a pesar de ser poco visible a simple vista- puede ser accedido regularmente por aplicaciones que en muchos casos ni siquiera están instaladas localmente en el dispositivo. En caso de duda, vacíe los datos del portapapeles copiando un carácter, una palabra u otro dato inocuo.