TikTok kan op Bitcoin-adressen, andere klembordgegevens snuffelen

Waarom halen TikTok en andere apps gegevens van je klembord? De iOS 14 bèta laat ze het niet meer verbergen.

In het kort

  • De iOS 14 bèta waarschuwt gebruikers voor apps die toegang hebben tot klembordgegevens.
  • Tientallen apps, waaronder TikTok, zijn uitgekozen om zonder duidelijke reden toegang te krijgen tot data.
  • Andere apparaten in de buurt die een Apple ID delen, kunnen ook Universal Clipboard data opvragen.

De vorige week uitgebrachte versie van Apple’s iOS 14-ontwikkelaarsbèta voor de iPhone heeft meer dan ooit duidelijk gemaakt dat veel populaire iOS-apps je klembordgegevens lezen, zelfs als ze geen duidelijke reden hebben om dat te doen, en dat ze dat ook kunnen doen vanaf andere Apple-apparaten in de buurt.

Het alarm ging voor het eerst af in maart toen onderzoekers Tommy Mysk en Talal Haj Bakry meldden dat de sociale videosensatie TikTok en tientallen andere apps regelmatig data van het iOS en iPadOS klembord opvrolijken, zelfs als je niet in een tekstinvoervakje zit. En zoals Ars Technica in een recent rapport aangaf, kunnen de gegevens mogelijk Bitcoin-adressen of andere gevoelige financiële informatie bevatten.

De iOS 14 bètaversie bevat een waarschuwing die gebruikers nu vertelt wanneer een andere app gegevens van het klembord kopieert. Zoals een virale video die vorige week op Twitter werd gedeeld laat zien, vraagt TikTok met name om data om de paar toetsaanslagen, maar deze is niet door de gebruiker zelf geïnitieerd en wordt ook niet in het veld geplakt.

De verschillende moderne apparaten van Apple, waaronder iPhones, iPads en Mac-computers, delen ook een Universal Clipboard-functie. Wanneer de apparaten die een Apple ID delen dicht bij elkaar staan (ongeveer 10 voet), kunnen ze de gegevens van het klembord van de andere apparaten lezen, voor het geval je iets van het ene apparaat naar het andere wilt plakken.

Alles bij elkaar genomen is het een potentieel zenuwslopende situatie voor iedereen die te maken heeft met gevoelige gegevens op een Apple apparaat, of het nu gaat om wachtwoorden, Bitcoin-adressen of andere persoonlijke en waardevolle informatie. Zelfs als de meeste grote geïdentificeerde apps de functie waarschijnlijk niet op een kwaadaardige manier gebruiken, roept het bestaan van de functie twijfels op over de veiligheid van gegevens binnen iOS.

Mysk en Haj Bakry hebben dit voorjaar meer dan 50 belangrijke apps geïdentificeerd die gebruik maakten van de functionaliteit, variërend van de eerder genoemde TikTok – die naar schatting 800 miljoen gebruikers heeft – tot nieuwsapplicaties zoals The New York Times, CBS News en Fox News, games zoals Bejeweled en PUBG Mobile, en andere apps zoals AccuWeather en Hotels.com.

The Telegraph meldde in maart dat TikTok van plan was het probleem aan te pakken, maar deed dat niet. Een vertegenwoordiger van TikTok vertelde vorige week aan Ars Technica dat de functionaliteit werd geïmplementeerd als een anti-spam maatregel, en dat een bijgewerkte versie van de app zonder het klembord callback al ter goedkeuring is voorgelegd aan de App Store.

Mysk vertelde Ars Technica dat slechts twee andere apps van de meer dan 50 belangrijke apps die in maart-Hotel Tonight zijn geïdentificeerd en 10% Happier-change de functionaliteit daarna. Nu de iOS 14-bèta de waarschuwing heeft geïmplementeerd, kunnen ontwikkelaars echter meer gemotiveerd zijn om te voorkomen dat potentieel miljoenen gebruikers alarmeren zodra iOS 14 dit najaar publiekelijk wordt uitgerold.