TikTok опасен: приложение получает данные вашего смартфона каждую секунду
Оно имеет неконтролируемый доступ к буферу обмена.
Будущая iOS 14 ещё больше внимания привлекает к конфиденциальности данных пользователей. Новая «ось» даёт пользователям возможность узнать, как именно приложение использует данные. Например, оказалось, что множество приложений обращаются к буферу обмена смартфона или планшета:
Это может быть любая информация: ваша почта, чей-то номер телефона, пароли. Но информация, поступающая в буфер обмена, может быть не только текстовой. Это могут быть ваши фотографии, включая фото сексуального характера, видео, звуковые файлы, текстовые и прочие документы. То есть вообще любая информация.
Но главной проблемой оказалось одно из самых популярных приложений в мире — TikTok. Социальная сеть обращается к буферу обмена всякий раз, когда пользователь набирает любой из знаков на клавиатуре:
Okay so TikTok is grabbing the contents of my clipboard every 1-3 keystrokes. iOS 14 is snitching on it with the new paste notification pic.twitter.com/OSXP43t5SZ
— Jeremy Burge (@jeremyburge) June 24, 2020
Так как человек набирает сообщения довольно быстро, то и к буферу обмена TikTok обращается практически каждую секунду. При этом, в отличие от Google Chrome, считывающий ссылки и предлагающий по ним перейти, TikTok делает это без какой-либо аргументации.
Три месяца назад социальную сеть уже обличали в чрезмерном интересе к данным, доступ к которым она не должна иметь. Так, в марте исследователи безопасности обнаружили, что несколько приложений, включая TikTok, обращаются к буферу обмена всякий раз, когда приложение открывается и закрывается. При этом, после вопроса The Telegraph, руководство социальной сети объявило, что в ближайшее время эта функция будет выключена.
Затем пользователь Reddit, скрывающийся под ником bangorlol, опубликовал в апреле пост, где подробно рассказал, к каким данным имеет доступ TikTok:
- Какой у вас телефон, а также все его характеристики;
- Информация о других приложениях на вашем смартфоне, включая удалённые;
- Вся информация, известная о сети, в которой вы сидите: mac-адрес, IP, имя точки доступа Wi-Fi;
- Был ли ваш смартфон рутирован или взломан;
- Отслеживание местоположения с помощью GPS каждые тридцать секунд;
- ByteDance настраивает на вашем устройстве локальный сервер для транскодирования видео, но у него нулевая аутентификация, так что этой функцией можно легко злоупотребить;
- Всё настраивается удалённо, а поведение приложения меняется, когда оно понимает, что пользователь пытается понять, какие данные использует TikTok.
Полный отчёт можно прочитать на Google Docs на английском языке.
И вот в конце июня выяснилось, что под «выключено» ByteDance, занимающееся разработкой TikTok, понимает что-то странное: частота обращений к буферу только увеличилась. Однако же теперь разработчики поменяли свою точку зрения на эту «фичу»:
После выхода бета-версии iOS 14 22 июня пользователи начали получать уведомления при использовании ряда популярных приложений. У TikTok они были вызваны функцией, предназначенной для выявления спамеров. Мы уже представили обновлённую версию приложения в App Store, удалив функцию защиты от спама. Это поможет исключить возможную путаницу.
Уязвимость была повторно обнаружена неделю назад, но на момент написания этого текста ByteDance никак не исправила проблему.
При этом было заявлено, что на Android такой функции «антиспам» не было вовсе. Однако исследователи безопасности подчёркивают, что API-интерфейсы этой ОС намного мягче, так что чтение буфера обмена происходит «ещё хуже». Так, например, до релиза Android 10 приложения имели доступ к буферу обмена даже в тот момент, когда они были неактивны.