Как TikTok и другие приложения тайно следят за пользователем

TechCrunch

Ваша электронная почта, сообщения, пароли и контакты, адреса криптовалютных кошельков доступны этим приложениям.

Четыре десятка приложений для iOS, включая TikTok, по-прежнему нарушают законы о конфиденциальности. В частности, TikTok имеет доступ к наиболее чувствительным данным пользователей Apple — паролям, адресам криптовалютных кошельков, ссылкам на сброс учётных записей и личным сообщениям.

Об этом сообщает Arstechnica. Они напоминают, что уязвимости были обнаружены еще в марте и разработчики вышеуказанных приложений обещали провести “работу над ошибками”, но этого так и не произошло.

Вторжение в частную жизнь — результат чтения приложениями  текстов, которые случайно оказались в буферах обмена, используемых компьютерами и другими устройствами для хранения данных из менеджеров паролей и почтовых программ. Исследователи Талал Хадж Бакри и Томми Миск обнаружили, что приложения намеренно вызывают интерфейс программирования iOS, который извлекает текст из буфера обмена пользователя, не имея соответствующих разрешений.

TikTok

Особое внимание в этой ситуации привлек именно TikTok из-за его огромной базы активных пользователей (около 800 миллионов пользователей, при этом только в первой половине 2018 года приложение было установлено 104 миллиона раз на iOS). При этом в марте 2020 года провайдер TikTok сообщил британскому изданию The Telegraph, что прекратит слежку в ближайшие недели.

Как выяснилось, приложение так и не прекратило мониторинг личных данных. Более того, оказалось, что чтение буфера обмена происходит каждый раз, когда пользователь вводит знак препинания или нажимает пробел, составляя комментарий. Это означает, что чтение буфера обмена может происходить примерно раз в секунду – а это гораздо быстрее, чем было в марте, когда мониторинг происходил только при запуске приложения.

“После выхода бета-версии iOS14 22 июня пользователи получили уведомления при использовании ряда популярных приложений. У TikTok это было вызвано функцией выявления повторяющегося спам-поведения. Мы уже представили обновленную версию приложения в App Store, удалив функцию защиты от спама, чтобы исключить возможную путаницу. TikTok стремится защитить конфиденциальность пользователей и быть прозрачным в своей работе. Мы с нетерпением ожидаем увидеть сторонних экспертов в нашем Центре прозрачности позже в этом году”, – ответили в TikTok..

Другие приложения

Исследователи составили список приложений для операционной системы iOS, которые считывают данные из буфера обмена пользователей каждый раз, когда приложение открывается, не имея на то чёткой цели.

Новости

  • ABC News — com.abcnews.ABCNews;
  • Al Jazeera English — ajenglishiphone;
  • CBC News — ca.cbc.CBCNews;
  • CBS News — com.H443NM7F8H.CBSNews;
  • CNBC — com.nbcuni.cnbc.cnbcrtipad;
  • Fox News — com.foxnews.foxnews;
  • News Break — com.particlenews.newsbreak;
  • New York Times — com.nytimes.NYTimes;
  • NPR — org.npr.nprnews;
  • ntv Nachrichten — de.n-tv.n-tvmobil;
  • Reuters — com.thomsonreuters.Reuters;
  • Russia Today — com.rt.RTNewsEnglish;
  • Stern Nachrichten — de.grunerundjahr.sternneu;
  • The Economist — com.economist.lamarr;
  • The Huffington Post — com.huffingtonpost.HuffingtonPost;
  • The Wall Street Journal — com.dowjones.WSJ.ipad;
  • Vice News — com.vice.news.VICE-News;

Игры

  • 8 Ball Pool™ — com.miniclip.8ballpoolmult;
  • AMAZE!!! — com.amaze.game;
  • Bejeweled — com.ea.ios.bejeweledskies;
  • Block Puzzle —Game.BlockPuzzle;
  • Classic Bejeweled — com.popcap.ios.Bej3;
  • Classic Bejeweled HD —com.popcap.ios.Bej3HD;
  • FlipTheGun — com.playgendary.flipgun;
  • Fruit Ninja — com.halfbrick.FruitNinjaLite;
  • Golfmasters — com.playgendary.sportmasterstwo;
  • Letter Soup — com.candywriter.apollo7;
  • Love Nikki — com.elex.nikki;
  • My Emma — com.crazylabs.myemma;
  • Plants vs. Zombies™ Heroes — com.ea.ios.pvzheroes;
  • Pooking – Billiards City — com.pool.club.billiards.city;
  • PUBG Mobile — com.tencent.ig;
  • Tomb of the Mask — com.happymagenta.fromcore;
  • Tomb of the Mask: Color — com.happymagenta.totm2;
  • Total Party Kill — com.adventureislands.totalpartykill;
  • Watermarbling — com.hydro.dipping;

Социальные сети

  • TikTok — com.zhiliaoapp.musically;
  • ToTalk — totalk.gofeiyu.com;
  • Tok — com.SimpleDate.Tok;
  • Truecaller — com.truesoftware.TrueCallerOther;
  • Viber — com.viber;
  • Weibo — com.sina.weibo;
  • Zoosk — com.zoosk.Zoosk;

Другие

  • 10% Happier: Meditation —com.changecollective.tenpercenthappier;
  • 5-0 Radio Police Scanner — com.smartestapple.50radiofree;
  • Accuweather — com.yourcompany.TestWithCustomTabs;
  • AliExpress Shopping App — com.alibaba.iAliexpress;
  • Bed Bath & Beyond — com.digby.bedbathbeyond;
  • Dazn — com.dazn.theApp;
  • Hotels.com — com.hotels.HotelsNearMe;
  • Hotel Tonight — com.hoteltonight.prod;
  • Overstock — com.overstock.app;
  • Pigment – Adult Coloring Book — com.pixite.pigment;
  • Recolor Coloring Book to Color — com.sumoing.ReColor;
  • Sky Ticket — de.sky.skyonline;
  • The Weather Network — com.theweathernetwork.weathereyeiphone;

После публикации отчёта TikTok обещал остановить слежку, но так и не сделал этого, сказал Миск. Ни одно приложение не сделало этого.

Как за вами следят

Во многих случаях скрытое считывание не ограничено данными, которые хранятся на локальном устройстве. Так, если ваш iPhone или iPad использует тот же идентификатор Apple ID, что и другие устройства Apple, и находится примерно в трех метрах от них, все они имеют общий универсальный буфер обмена. Поэтому содержимое может быть скопировано из приложения одного устройства и вставлено в приложение на другом.

Это дает приложению на iPhone возможность считывать конфиденциальные данные на планшетах других подключённых устройств. Такими данными могут быть биткоин-адреса, пароли или сообщения электронной почты, которые временно хранятся в буфере обмена ближайшего компьютера Mac или iPad. И даже несмотря на работу на отдельном устройстве, приложения iOS могут легко считывать данные, которые хранятся на других машинах.

 

Пользователи должны помнить, что любые данные в буфере обмена, несмотря на то что они незаметны невооруженным глазом, постоянно могут быть доступны приложениям, которые во многих случаях даже не установлены на самом устройстве. Если вы сомневаетесь в своей безопасности, проще всего регулярно очищать данные буфера обмена: для этого скопируйте символ, слово или другой фрагмент обычного текста.

Как ранее сообщал politua, в Верховной Раде рассматривают законопроект о “налоге на соцсети”.

Тоже интересно
Комментарии
Загружаем...