TikTok et 53 autres applications iOS continuent de fouiner vos données sensibles du presse-papiers

En mars, les chercheurs ont découvert une saisie inquiétante de la vie privée par plus de quatre douzaines d’applications iOS, dont TikTok, le phénomène de partage de vidéos et de médias sociaux appartenant à des Chinois qui a pris d’assaut Internet. Bien que TikTok se soit engagé à limiter cette pratique, il continue d’accéder à certaines des données les plus sensibles des utilisateurs d’Apple, qui peuvent inclure des mots de passe, des adresses de portefeuille de crypto-monnaie, des liens de réinitialisation de compte et des messages personnels. 53 autres applications identifiées en mars ne se sont pas non plus arrêtées.

L’invasion de la vie privée est le résultat de la lecture répétée par les applications de tout texte résidant dans des presse-papiers, que les ordinateurs et autres appareils utilisent pour stocker des données qui ont été coupées ou copiées à partir d’éléments tels que les gestionnaires de mots de passe et les programmes de messagerie. Sans raison claire de le faire, les chercheurs Talal Haj Bakry et Tommy Mysk ont ​​découvert que les applications appelaient délibérément une interface de programmation iOS qui récupère le texte des presse-papiers des utilisateurs.

Espionnage universel
Dans de nombreux cas, la lecture secrète n’est pas limitée aux données stockées sur l’appareil local. Dans le cas où l’iPhone ou l’iPad utilise le même identifiant Apple que les autres appareils Apple et se trouvent à environ 10 pieds les uns des autres, tous partagent un presse-papiers universel, ce qui signifie que le contenu peut être copié depuis l’application d’un appareil et collé dans une application fonctionnant sur un appareil séparé.

Cela laisse ouverte la possibilité qu’une application sur un iPhone lise des données sensibles sur les presse-papiers d’autres appareils connectés. Cela peut inclure des adresses bitcoin, des mots de passe ou des e-mails qui sont temporairement stockés dans le presse-papiers d’un Mac ou iPad à proximité. Bien qu’elles s’exécutent sur un appareil distinct, les applications iOS peuvent facilement lire les données sensibles stockées sur les autres machines.

« C’est très, très dangereux », a déclaré Mysk dans une interview vendredi, se référant à la lecture aveugle des données du presse-papiers par les applications. « Ces applications lisent des presse-papiers, et il n’y a aucune raison de le faire. Une application qui possède un champ de texte pour saisir du texte n’a aucune raison de lire le texte du presse-papiers. »

Alors que Haj Bakry et Mysk ont ​​publié leurs recherches en mars, les applications invasives ont de nouveau fait la une des journaux cette semaine avec la version bêta du développeur d’iOS 14. Une nouvelle fonctionnalité ajoutée par Apple fournit un avertissement de bannière chaque fois qu’une application lit le contenu du presse-papiers. Alors qu’un grand nombre de personnes ont commencé à tester la version bêta, elles ont rapidement compris combien d’applications se livraient à la pratique et à quelle fréquence elles le faisaient.

TikTok à l’honneur
Les titres récents ont attiré une attention particulière sur TikTok, en grande partie en raison de sa base massive d’utilisateurs actifs (estimée à 800 millions, avec environ 104 millions d’installations iOS au cours du premier semestre 2018 seulement, ce qui en fait l’application la plus téléchargée pour cela. période).

La surveillance continue de TikTok a fait l’objet d’un examen supplémentaire pour d’autres raisons. Lorsqu’il a été appelé en mars, le fournisseur de partage de vidéos a déclaré à la publication britannique The Telegraph qu’il mettrait fin à cette pratique dans les semaines à venir. Mysk a déclaré que l’application n’avait jamais arrêté la surveillance. De plus, un fil Twitter du mercredi a révélé que la lecture du presse-papiers se produisait chaque fois qu’un utilisateur saisissait un signe de ponctuation ou tapait sur la barre d’espace lors de la rédaction d’un commentaire. Cela signifie que la lecture du presse-papiers peut avoir lieu toutes les secondes environ, à un rythme beaucoup plus agressif que celui documenté dans la recherche de mars, qui a révélé que la surveillance avait lieu lors de l’ouverture ou de la réouverture de l’application.

En arrière-plan, un porte-parole a déclaré que TikTok pour Android n’avait jamais implémenté la fonction anti-spam.

J’ai envoyé des questions de suivi demandant (1) si la version TikTok pour les presse-papiers surveillés Android pour toute autre raison, (2) si du texte du presse-papiers a été téléchargé depuis l’appareil, et (3) pourquoi TikTok n’a pas supprimé la surveillance comme promis en mars. Le porte-parole n’a pas encore répondu. Ce message sera mis à jour si une réponse arrive plus tard.

Pas seulement TikTok
Au total, les chercheurs ont constaté que les applications iOS suivantes lisaient les données du presse-papiers des utilisateurs chaque fois que l’application était ouverte sans raison claire:

Nom de l’application – BundleID
Nouvelles

ABC News – com.abcnews.ABCNews
Al Jazeera English – ajenglishiphone
CBC News – ca.cbc.CBCNews
CBS News – com.H443NM7F8H.CBSNews
CNBC – com.nbcuni.cnbc.cnbcrtipad
Fox News – com.foxnews.foxnews
News Break – com.particlenews.newsbreak
New York Times – com.nytimes.NYTimes
NPR – org.npr.nprnews
ntv Nachrichten – de.n-tv.n-tvmobil
Reuters – com.thomsonreuters.Reuters
Russie Aujourd’hui – com.rt.RTNewsEnglish
Stern Nachrichten – de.grunerundjahr.sternneu
The Economist – com.economist.lamarr
The Huffington Post – com.huffingtonpost.HuffingtonPost
Le Wall Street Journal – com.dowjones.WSJ.ipad
Vice News – com.vice.news.VICE-News
Jeux

8 Ball Pool ™ – com.miniclip.8ballpoolmult
ÉTONNER!!! – com.amaze.game
Bejeweled – com.ea.ios.bejeweledskies
Block Puzzle —Game.BlockPuzzle
Bejeweled classique – com.popcap.ios.Bej3
Classic Bejeweled HD —com.popcap.ios.Bej3HD
FlipTheGun – com.playgendary.flipgun
Fruit Ninja – com.halfbrick.FruitNinjaLite
Golfmasters – com.playgendary.sportmasterstwo
Soupe aux lettres – com.candywriter.apollo7
Love Nikki – com.elex.nikki
Mon Emma – com.crazylabs.myemma
Plants vs. Zombies ™ Heroes – com.ea.ios.pvzheroes
Pooking – Billiards City – com.pool.club.billiards.city
PUBG Mobile – com.tencent.ig
Tombe du masque – com.happymagenta.fromcore
Tombe du masque: couleur – com.happymagenta.totm2
Total Party Kill – com.adventureislands.totalpartykill
Filigrane – com.hydro.dipping
Réseautage social

TikTok – com.zhiliaoapp.musically
ToTalk – totalk.gofeiyu.com
Tok – com.SimpleDate.Tok
Truecaller – com.truesoftware.TrueCallerOther
Viber – com.viber
Weibo – com.sina.weibo
Zoosk – com.zoosk.Zoosk
Autre

10% plus heureux: méditation – com.changecollective.tenpercenthappier
5-0 Radio Police Scanner – com.smartestapple.50radiofree
Accuweather – com.yourcompany.TestWithCustomTabs
App Shopping AliExpress – com.alibaba.iAliexpress
Lit Bath & Beyond – com.digby.bedbathbeyond
Dazn – com.dazn.theApp
Hotels.com – com.hotels.HotelsNearMe
Hotel Tonight – com.hoteltonight.prod
Surstock – com.overstock.app
Pigment – Livre de coloriage pour adultes – com.pixite.pigment
Recolorier livre de coloriage à colorier – com.sumoing.ReColor
Sky Ticket – de.sky.skyonline
MétéoMédia – com.theweathernetwork.weathereyeiphone
Peu de temps après la publication du rapport, 10% plus heureux: la méditation et l’hôtel ce soir ont promis d’arrêter le comportement et suivi rapidement. TikTik a également promis d’arrêter mais ne l’a jamais fait, a déclaré Mysk. De toutes les autres applications, aucune ne s’est arrêtée non plus, a-t-il déclaré.

Lecture du presse-papiers bien faite
Dans certains cas, la lecture du presse-papiers peut rendre les applications beaucoup plus utiles. L’application UPS iPhone, par exemple, extrait le texte du presse-papiers et, si le texte correspond aux caractéristiques d’un numéro de suivi, l’application invite l’utilisateur à suivre le colis correspondant. Google Chrome extrait également du texte et, s’il s’agit d’une URL, il invitera l’utilisateur à y accéder. L’éditeur de photos Pixelmator ne lit les données que s’il s’agit d’une image. Si tel est le cas, Pixelmator invitera l’utilisateur à l’ouvrir pour le modifier. Dans les trois cas, la lecture des données a un cas d’utilisation clair et est transparente.

TikTok et les autres applications incriminées, en revanche, accèdent au presse-papiers sans raison claire et sans indication qu’elles le font. Pour de nombreuses applications, il est difficile de voir une performance légitime ou une raison d’utilisation pour l’accès. Mysk a dit qu’Apple prévoit de créditer ses recherches et celles de Haj Bakry comme catalyseur de la nouvelle notification du presse-papiers mise dans iOS 14.

Le presse-papiers lisant Haj Bakry et Mysk a fait état de préoccupations qui s’étendent probablement à ceux qui utilisent Android et éventuellement d’autres systèmes d’exploitation. Mysk a déclaré que la lecture du presse-papiers dans les applications Android est « encore pire » que iOS parce que les API du système d’exploitation sont beaucoup plus clémentes. Jusqu’à la version 10, par exemple, Android autorisait les applications s’exécutant en arrière-plan à lire le presse-papiers. Les applications iOS, en revanche, ne peuvent lire ou interroger les presse-papiers que lorsqu’elles sont actives (c’est-à-dire qu’elles s’exécutent au premier plan).

Mysk a déclaré que la fonction de notification d’Apple est un bon début mais, en fin de compte, Apple et Google devraient faire plus. Une possibilité consiste à faire de l’accès au presse-papiers une autorisation standard, tout comme l’accès à un micro ou à une caméra l’est maintenant. Une autre possibilité consiste à exiger des développeurs d’applications qu’ils divulguent précisément les données du presse-papiers auxquelles on accède et ce que l’application en fait.

Pour l’instant, les utilisateurs doivent rester conscients que toutes les données stockées dans le presse-papiers – bien qu’il soit discret à l’œil nu – sont régulièrement accessibles par des applications qui, dans de nombreux cas, ne sont même pas installées localement sur l’appareil. En cas de doute, videz les données du presse-papiers en copiant un caractère, un mot ou toute autre donnée inoffensive.