TikTok и более полусотни других приложений продолжают отслеживать данные

0   69   0

30.06.2020 12:00


Пароли, биткоин-адреса и всё остальное в буферах обмена можно забрать у вас — подробности в сокращённом переводе статьи Arstechnica

Поделиться c друзьями:  


5efb0f6ea894d200017cee88

В марте исследователей встревожило обнаруженное ими нарушение конфиденциальности более чем четырьмя десятками iOS-приложений, включая TikTok (китайская соцсеть для обмена видео, покорившая интернет). Несмотря на обещание сделать работу над ошибками, TikTok всё ещё имеет доступ к некоторым наиболее чувствительным данным пользователей Apple — таким как пароли, адреса криптовалютных кошельков, ссылки на сброс учётных записей и личные сообщения. Еще 53 приложения, выявленные в марте, тоже не оставили подобную практику.

Вторжение в частную жизнь — результат чтения приложениями текстов, которые случайно оказались в буферах обмена, используемых компьютерами и другими устройствами для хранения данных из менеджеров паролей и почтовых программ.

Исследователи Талал Хадж Бакри и Томми Миск обнаружили, что, не имея на то прав, приложения намеренно вызывают интерфейс программирования iOS, который извлекает текст из буфера обмена пользователя.

Универсальная слежка

Во многих случаях скрытое считывание не ограничено данными, хранящимися на локальном устройстве. Если iPhone или iPad использует тот же идентификатор Apple ID, что и другие устройства Apple, и находится примерно в 10 футах (чуть более трёх метров — прим. ред.) друг от друга, все они имеют общий универсальный буфер обмена. Поэтому содержимое может быть скопировано из приложения одного устройства и вставлено в приложение на другом.

Это открывает возможность приложению на iPhone считывать конфиденциальные данные на планшетах других подключённых устройств. Такими данными могут быть биткойн-адреса, пароли или сообщения электронной почты, которые временно хранятся в буфере обмена ближайшего компьютера Mac или iPad. Несмотря на работу на отдельном устройстве, приложения iOS могут легко считывать чувствительные данные, хранящиеся на других машинах.

«Это очень, очень опасно. Эти приложения читают буфер обмена без какой-бы то ни было цели. Приложение, у которого нет текстового поля для ввода текста, не имеет причин читать текст из буфера обмена», — сказал Миск о беспорядочном считывании данных из буфера обмена приложениями.

TikTok в центре внимания

СМИ сосредоточили особое внимание на TikTok в значительной степени из-за его огромной базы активных пользователей (сообщается, что она составляет 800 млн, из них только в первой половине 2018 года приложение было установлено 104 млн раз на iOS, что делает его самым загружаемым приложением за этот период).

TikTok привлёк к себе внимание ещё и по другим причинам. В марте провайдер видеохостинга сообщил британскому изданию The Telegraph, что прекратит слежку в ближайшие недели. Миск сказал, что приложение не прекращало мониторинг никогда. Более того, выяснилось, что чтение буфера обмена происходит каждый раз, когда пользователь вводит знак препинания или нажимает пробел, составляя комментарий. Это означает, что чтение буфера обмена может происходить примерно каждую секунду, что гораздо быстрее, чем показало мартовское исследование, говорившее, что мониторинг происходит при открытии приложения.

Представители TikTok написали:

«После выхода бета-версии iOS14 22 июня пользователи получили уведомления при использовании ряда популярных приложений. У TikTok это было вызвано функцией выявления повторяющегося спам-поведения. Мы уже представили обновленную версию приложения в App Store, удалив функцию защиты от спама, чтобы исключить возможную путаницу.
TikTok стремится защитить конфиденциальность пользователей и быть прозрачным в своей работе. Мы с нетерпением ожидаем увидеть сторонних экспертов в нашем Центре прозрачности позже в этом году».

Ранее пресс-секретарь говорил, что TikTok для Android никогда не реализовывал функцию защиты от спама.

Подробнее можно прочитать здесь.

  0  

Источник: roskomsvoboda.org

Поделиться c друзьями: