TikTok и более полусотни других приложений продолжают отслеживать данные

Пароли, биткоин-адреса и всё остальное в буферах обмена можно забрать у вас — подробности в сокращённом переводе статьи Arstechnica.  

В марте исследователей встревожило обнаруженное ими нарушение конфиденциальности более чем четырьмя десятками iOS-приложений, включая TikTok (китайская соцсеть для обмена видео, покорившая интернет). Несмотря на обещание сделать работу над ошибками, TikTok всё ещё имеет доступ к некоторым наиболее чувствительным данным пользователей Apple — таким как пароли, адреса криптовалютных кошельков, ссылки на сброс учётных записей и личные сообщения. Еще 53 приложения, выявленные в марте, тоже не оставили подобную практику.

Вторжение в частную жизнь — результат чтения приложениями  текстов, которые случайно оказались в буферах обмена, используемых компьютерами и другими устройствами для хранения данных из менеджеров паролей и почтовых программ.

Исследователи Талал Хадж Бакри и Томми Миск обнаружили, что, не имея на то прав, приложения намеренно вызывают интерфейс программирования iOS, который извлекает текст из буфера обмена пользователя.

.

Универсальная слежка

.

Во многих случаях скрытое считывание не ограничено данными, хранящимися на локальном устройстве. Если iPhone или iPad использует тот же идентификатор Apple ID, что и другие устройства Apple, и находится примерно в 10 футах (чуть более трёх метров — прим. ред.) друг от друга, все они имеют общий универсальный буфер обмена. Поэтому содержимое может быть скопировано из приложения одного устройства и вставлено в приложение на другом.

Это открывает возможность приложению на iPhone считывать конфиденциальные данные на планшетах других подключённых устройств. Такими данными могут быть биткойн-адреса, пароли или сообщения электронной почты, которые временно хранятся в буфере обмена ближайшего компьютера Mac или iPad. Несмотря на работу на отдельном устройстве, приложения iOS могут легко считывать чувствительные данные, хранящиеся на других машинах.

«Это очень, очень опасно. Эти приложения читают буфер обмена без какой-бы то ни было цели. Приложение, у которого нет текстового поля для ввода текста, не имеет причин читать текст из буфера обмена», — сказал Миск о беспорядочном считывании данных из буфера обмена приложениями.

Видео ниже демонстрирует универсальное чтение буфера обмена.

.

TikTok в центре внимания

.

СМИ сосредоточили особое внимание на TikTok в значительной степени из-за его огромной базы активных пользователей (сообщается, что она составляет 800 млн, из них только в первой половине 2018 года приложение было установлено 104 млн раз на iOS, что делает его самым загружаемым приложением за этот период).

TikTok привлёк к себе внимание ещё и по другим причинам. В марте провайдер видеохостинга сообщил британскому изданию The Telegraph, что прекратит слежку в ближайшие недели. Миск сказал, что приложение не прекращало мониторинг никогда. Более того, выяснилось, что чтение буфера обмена происходит каждый раз, когда пользователь вводит знак препинания или нажимает пробел, составляя комментарий. Это означает, что чтение буфера обмена может происходить примерно каждую секунду, что гораздо быстрее, чем показало мартовское исследование, говорившее, что мониторинг происходит при открытии приложения.

Okay so TikTok is grabbing the contents of my clipboard every 1-3 keystrokes. iOS 14 is snitching on it with the new paste notification pic.twitter.com/OSXP43t5SZ

— Jeremy Burge (@jeremyburge) June 24, 2020

Представители TikTok написали:

«После выхода бета-версии iOS14 22 июня пользователи получили уведомления при использовании ряда популярных приложений. У TikTok это было вызвано функцией выявления повторяющегося спам-поведения. Мы уже представили обновленную версию приложения в App Store, удалив функцию защиты от спама, чтобы исключить возможную путаницу.
TikTok стремится защитить конфиденциальность пользователей и быть прозрачным в своей работе. Мы с нетерпением ожидаем увидеть сторонних экспертов в нашем Центре прозрачности позже в этом году».

Ранее пресс-секретарь говорил, что TikTok для Android никогда не реализовывал функцию защиты от спама.

.

Не только TikTok

.

В целом исследователи обнаружили, что следующие приложения iOS считывали данные из буфера обмена пользователей, не имея на то чёткой цели, каждый раз, когда приложение открывалось.

• App Name — BundleID

Новости
• ABC News — com.abcnews.ABCNews
• Al Jazeera English — ajenglishiphone
• CBC News — ca.cbc.CBCNews
• CBS News — com.H443NM7F8H.CBSNews
• CNBC — com.nbcuni.cnbc.cnbcrtipad
• Fox News — com.foxnews.foxnews
• News Break — com.particlenews.newsbreak
• New York Times — com.nytimes.NYTimes
• NPR — org.npr.nprnews
• ntv Nachrichten — de.n-tv.n-tvmobil
• Reuters — com.thomsonreuters.Reuters
• Russia Today — com.rt.RTNewsEnglish
• Stern Nachrichten — de.grunerundjahr.sternneu
• The Economist — com.economist.lamarr
• The Huffington Post — com.huffingtonpost.HuffingtonPost
• The Wall Street Journal — com.dowjones.WSJ.ipad
• Vice News — com.vice.news.VICE-News

Игры
• 8 Ball Pool™ — com.miniclip.8ballpoolmult
• AMAZE!!! — com.amaze.game
• Bejeweled — com.ea.ios.bejeweledskies
• Block Puzzle —Game.BlockPuzzle
• Classic Bejeweled — com.popcap.ios.Bej3
• Classic Bejeweled HD —com.popcap.ios.Bej3HD
• FlipTheGun — com.playgendary.flipgun
• Fruit Ninja — com.halfbrick.FruitNinjaLite
• Golfmasters — com.playgendary.sportmasterstwo
• Letter Soup — com.candywriter.apollo7
• Love Nikki — com.elex.nikki
• My Emma — com.crazylabs.myemma
• Plants vs. Zombies™ Heroes — com.ea.ios.pvzheroes
• Pooking – Billiards City — com.pool.club.billiards.city
• PUBG Mobile — com.tencent.ig
• Tomb of the Mask — com.happymagenta.fromcore
• Tomb of the Mask: Color — com.happymagenta.totm2
• Total Party Kill — com.adventureislands.totalpartykill
• Watermarbling — com.hydro.dipping

Социальные сети
• TikTok — com.zhiliaoapp.musically
• ToTalk — totalk.gofeiyu.com
• Tok — com.SimpleDate.Tok
• Truecaller — com.truesoftware.TrueCallerOther
• Viber — com.viber
• Weibo — com.sina.weibo
• Zoosk — com.zoosk.Zoosk

Другие
• 10% Happier: Meditation —com.changecollective.tenpercenthappier
• 5-0 Radio Police Scanner — com.smartestapple.50radiofree
• Accuweather — com.yourcompany.TestWithCustomTabs
• AliExpress Shopping App — com.alibaba.iAliexpress
• Bed Bath & Beyond — com.digby.bedbathbeyond
• Dazn — com.dazn.theApp
• Hotels.com — com.hotels.HotelsNearMe
• Hotel Tonight — com.hoteltonight.prod
• Overstock — com.overstock.app
• Pigment – Adult Coloring Book — com.pixite.pigment
• Recolor Coloring Book to Color — com.sumoing.ReColor
• Sky Ticket — de.sky.skyonline
• The Weather Network — com.theweathernetwork.weathereyeiphone

После публикации отчёта TikTok обещал остановить слежку, но так и не сделал этого, сказал Миск. Ни одно приложение не сделало этого.

.

Правильное чтение буфера обмена

В некоторых случаях чтение буфера обмена может сделать приложения намного полезнее. Так, приложение UPS для iPhone извлекает текст из буфера обмена и в случае, если текст соответствует характеристикам номера отслеживания, предлагает пользователю отслеживать соответствующий пакет. Google Chrome тоже извлекает текст и, если это URL-адрес, предлагает пользователю перейти к нему. Фоторедактор Pixelmator считывает данные изображений и предлагает пользователю открыть его для редактирования. Во всех трёх случаях чтение данных имеет чёткую цель и прозрачность.

TikTok и другие оскорбительные приложения, напротив, получают доступ к буферу обмена без видимой причины и каких-либо объяснений того, что они это делают. Миск рассказал, что Apple планирует использовать данные исследования для создания нового уведомления буфера обмена в iOS 14. Он считает, что это хорошее начало, но в итоге Apple и Google должны сделать больше. Они могут сделать запрос на доступ к буферу обмена стандартным, как к микрофону или камере. Либо потребовать от разработчиков приложений точно раскрывать, какие данные буфера обмена считываются и что приложение делает с ними.

Пока же пользователи должны помнить, что любые данные, хранящиеся в буфере обмена, несмотря на то что они незаметны невооруженным глазом, постоянно могут быть доступны приложениям, которые во многих случаях даже не установлены на самом устройстве. Если вы сомневаетесь, очистите данные буфера обмена, скопировав символ, слово или другой фрагмент обычного текста.

Оригинал статьи