Loading...
Redes SocialesTikTok

TikTok y otras 32 aplicaciones de iOS aún espían datos sensibles del portapapeles

Las contraseñas, las direcciones de bitcoin y cualquier otra cosa en los portapapeles son gratuitas.

En marzo, los investigadores descubrieron una inquietante captura de privacidad de más de cuatro docenas de aplicaciones de iOS, incluido TikTok, el fenómeno de intercambio de videos y redes sociales propiedad de los chinos que ha arrasado Internet.

A pesar de que TikTok prometió frenar la práctica, continúa accediendo a algunos de los datos más confidenciales de los usuarios de Apple, que pueden incluir contraseñas, direcciones de billetera de criptomonedas, enlaces de restablecimiento de cuenta y mensajes personales.

Otras 32 aplicaciones identificadas en marzo tampoco se han detenido.

La invasión de la privacidad es el resultado de que las aplicaciones leen repetidamente cualquier texto que resida en portapapeles, que las computadoras y otros dispositivos usan para almacenar datos que han sido cortados o copiados de cosas como administradores de contraseñas y programas de correo electrónico.

Sin una razón clara para hacerlo, descubrieron los investigadores Talal Haj Bakry y Tommy Mysk, las aplicaciones deliberadamente llamaron una interfaz de programación iOS que recupera el texto de los portapapeles de los usuarios.

Fisgoneo universal

En muchos casos, la lectura encubierta no se limita a los datos almacenados en el dispositivo local.

En el caso de que el iPhone o iPad use la misma ID de Apple que otros dispositivos de Apple y estén a aproximadamente 10 pies el uno del otro, todos ellos comparten un portapapeles universal, lo que significa que los contenidos se pueden copiar desde la aplicación de un dispositivo y pegar en una aplicación corriendo en un dispositivo separado.

Eso deja abierta la posibilidad de que una aplicación en un iPhone lea datos confidenciales en los portapapeles de otros dispositivos conectados.

Esto podría incluir direcciones de bitcoin, contraseñas o mensajes de correo electrónico que se almacenan temporalmente en el portapapeles de una Mac o iPad cercana.

A pesar de ejecutarse en un dispositivo separado, las aplicaciones de iOS pueden leer fácilmente los datos confidenciales almacenados en las otras máquinas.

“Es muy, muy peligroso”, dijo Mysk en una entrevista el viernes, refiriéndose a la lectura indiscriminada de los datos del portapapeles por parte de las aplicaciones.

“Estas aplicaciones están leyendo portapapeles, y no hay razón para hacerlo.

Una aplicación que tiene un campo de texto para ingresar texto no tiene ninguna razón para leer el texto del portapapeles “.

Para ver cómo se ve, clic aquí a ver video.

De vuelta en las noticias

Mientras que Haj Bakry y Mysk publicaron su investigación en marzo, las aplicaciones invasivas llegaron a los titulares nuevamente esta semana con el lanzamiento beta para desarrolladores de iOS 14.

Una nueva característica que Apple agregó proporciona una advertencia de banner cada vez que una aplicación lee el contenido del portapapeles.

A medida que un gran número de personas comenzó a probar la versión beta, rápidamente llegaron a apreciar cuántas aplicaciones participan en la práctica y con qué frecuencia lo hacen.

Este video de YouTube, que ha acumulado más de 87,000 visitas desde que se publicó el martes, muestra una pequeña muestra de las aplicaciones que activan la nueva advertencia.

TikTok en el centro de atención

Los titulares recientes han centrado una atención particular en TikTok, en gran parte debido a su base masiva de usuarios activos (se informa que son 800 millones, con un estimado de 104 millones de instalaciones de iOS solo en la primera mitad de 2018, por lo que es la aplicación más descargada para ese período).

El continuo espionaje de TikTok ha recibido un escrutinio adicional por otras razones.

Cuando lo llamaron en marzo, el proveedor de videos compartidos le dijo a la publicación británica The Telegraph que terminaría la práctica en las próximas semanas.

Mysk dijo que la aplicación nunca detuvo el monitoreo.

Además, un hilo de Twitter reveló que la lectura del portapapeles se producía cada vez que un usuario ingresaba un signo de puntuación o tocaba la barra espaciadora mientras redactaba un comentario.

Eso significa que la lectura del portapapeles puede ocurrir cada segundo más o menos, un ritmo mucho más agresivo que el documentado en la investigación de marzo, que encontró que el monitoreo ocurrió cuando la aplicación se abrió o se volvió a abrir.

En un comunicado, los representantes de TikTok escribieron:

“Después del lanzamiento beta de iOS14 el 22 de junio, los usuarios vieron notificaciones mientras usaban una serie de aplicaciones populares.

Para TikTok, esto fue provocado por una característica diseñada para identificar comportamientos repetitivos y no deseados.

Ya hemos enviado una versión actualizada de la aplicación a la App Store eliminando la función antispam para eliminar cualquier posible confusión.

TikTok se compromete a proteger la privacidad de los usuarios y a ser transparente sobre cómo funciona nuestra aplicación.

Esperamos dar la bienvenida a expertos externos a nuestro Centro de Transparencia más adelante este año.”

En segundo plano, un portavoz dijo que TikTok para Android nunca implementó la función antispam.

Envié preguntas de seguimiento preguntando:

(1) si la versión de TikTok para Android supervisaba los portapapeles por algún otro motivo,

(2) si se cargó algún texto del portapapeles desde el dispositivo, y

(3) por qué TikTok no eliminó el monitoreo como se prometió en marzo.

El portavoz aún no ha respondido.

No solo TikTok

En total, los investigadores encontraron que las siguientes aplicaciones de iOS estaban leyendo los datos del portapapeles de los usuarios cada vez que se abría la aplicación sin una razón clara para hacerlo:

Nombre de la aplicación: BundleID

Noticias

  • ABC News – com.abcnews.ABCNews
  • Al Jazeera Inglés – ajenglishiphone
  • CBC News – ca.cbc.CBCNews
  • CBS News – com.H443NM7F8H.CBSNews
  • CNBC – com.nbcuni.cnbc.cnbcrtipad
  • Fox News – com.foxnews.foxnews
  • Noticias de última hora – com.particlenews.newsbreak
  • New York Times – com.nytimes.NYTimes
  • NPR – org.npr.nprnews
  • ntv Nachrichten – de.n-tv.n-tvmobil
  • Reuters – com.thomsonreuters.Reuters
  • Russia Today – com.rt.RTNewsEnglish
  • Stern Nachrichten – de.grunerundjahr.sternneu
  • The Economist – com.economist.lamarr
  • The Huffington Post – com.huffingtonpost.HuffingtonPost
  • The Wall Street Journal – com.dowjones.WSJ.ipad
  • Vice News – com.vice.news.VICE-News

Juegos

  • 8 Ball Pool ™ – com.miniclip.8ballpoolmult
  • ¡¡¡ASOMBRO!!! – com.amaze.game
  • Bejeweled – com.ea.ios.bejeweledskies
  • Bloque de rompecabezas —Juego.BlockPuzzle
  • Bejeweled clásico – com.popcap.ios.Bej3
  • HD Bejeweled clásico —com.popcap.ios.Bej3HD
  • FlipTheGun – com.playgendary.flipgun
  • Fruit Ninja – com.halfbrick.FruitNinjaLite
  • Golfmasters – com.playgendary.sportmasterstwo
  • Sopa de letras – com.candywriter.apollo7
  • Amor Nikki – com.elex.nikki
  • Mi Emma – com.crazylabs.myemma
  • Plants vs.Zombies ™ Heroes – com.ea.ios.pvzheroes
  • Pooking – Billiards City – com.pool.club.billiards.city
  • PUBG Mobile – com.tencent.ig
  • Tumba de la máscara – com.happymagenta.fromcore
  • Tumba de la Máscara: Color – com.happymagenta.totm2
  • Total Party Kill – com.adventureislands.totalpartykill
  • Marmoleado con agua – com.hydro.dipping

Redes sociales

  • TikTok – com.zhiliaoapp.musically
  • ToTalk – totalk.gofeiyu.com
  • Tok – com.SimpleDate.Tok
  • Truecaller – com.truesoftware.TrueCallerOther
  • Viber – com.viber
  • Weibo – com.sina.weibo
  • Zoosk – com.zoosk.Zoosk

Otr@s

  • 10% más feliz: meditación —com.changecollective.tenpercenthappier
  • 5-0 Radio Police Scanner – com.smartestapple.50radiofree
  • Accuweather – com.yourcompany.TestWithCustomTabs
  • Aplicación de compras AliExpress – com.alibaba.iAliexpress
  • Bed Bath & Beyond – com.digby.bedbathbeyond
  • Dazn – com.dazn.theApp
  • Hotels.com – com.hotels.HotelsNearMe
  • Hotel esta noche – com.hoteltonight.prod
  • Overstock – com.overstock.app
  • Pigmento – Libro de colorear para adultos – com.pixite.pigment
  • Recolor Coloring Book to Colour – com.sumoing.ReColor
  • Boleto Sky – de.sky.skyonline
  • The Weather Network – com.theweathernetwork.weathereyeiphone

Poco después de que se publicó el informe, 10% más feliz: Meditación y Hotel Tonight prometieron detener el comportamiento y lo siguieron rápidamente.

TikTok también prometió detenerse y fue sorprendido participando en la práctica nuevamente.

Aquí está la lista completa de aplicaciones que habían frenado la práctica al 30 de junio:

Noticias

  • ABC News – com.abcnews.ABCNews
  • Al Jazeera Inglés – ajenglishiphone
  • CBC News – ca.cbc.CBCNews
  • CBS News – com.H443NM7F8H.CBSNews
  • ntv Nachrichten – de.n-tv.n-tvmobil

Juegos

  • 8 Ball Pool ™ – com.miniclip.8ballpoolmult
  • ¡¡¡ASOMBRO!!! – com.amaze.game
  • Bejeweled clásico – com.popcap.ios.Bej3
  • HD Bejeweled clásico – com.popcap.ios.Bej3HD
  • Sopa de letras – com.candywriter.apollo7
  • PUBG Mobile – com.tencent.ig
  • Tumba de la máscara – com.happymagenta.fromcore
  • Tumba de la Máscara: Color – com.happymagenta.totm2

Redes sociales

  • TikTok – com.zhiliaoapp.musically
  • Truecaller – com.truesoftware.TrueCallerOther
  • Viber – com.viber

Otro

  • 10% más feliz: meditación —com.changecollective.tenpercenthappier
  • 5-0 Radio Police Scanner – com.smartestapple.50radiofree
  • Dazn – com.dazn.theApp
  • Hotels.com – com.hotels.HotelsNearMe
  • Hotel esta noche – com.hoteltonight.prod
  • Recolor Coloring Book to Colour – com.sumoing.ReColor

Lectura del portapapeles bien hecha

En algunos casos, la lectura del portapapeles puede hacer que las aplicaciones sean mucho más útiles.

La aplicación UPS iPhone, por ejemplo, extrae texto del portapapeles y, en caso de que el texto coincida con las características de un número de seguimiento, la aplicación solicita al usuario que rastree el paquete correspondiente.

Google Chrome también extrae texto y, en caso de que sea una URL, solicitará al usuario que lo busque.

El editor de fotos Pixelmator lee datos solo si es una imagen. Si es así, Pixelmator le pedirá al usuario que lo abra para editarlo.

En los tres casos, la lectura de datos tiene un caso de uso claro y es transparente.

TikTok y las otras aplicaciones ofensivas, por el contrario, acceden al portapapeles sin una razón clara y sin indicación de que lo estén haciendo.

Para muchas aplicaciones, es difícil ver un rendimiento legítimo o una razón de uso para el acceso.

Mysk dijo que Apple planea acreditar su investigación y la de Haj Bakry como catalizador de la nueva notificación del portapapeles puesta en iOS 14.

El portapapeles que lee Haj Bakry y Mysk informó plantea preocupaciones que probablemente se extiendan a aquellos que usan Android y posiblemente otros sistemas operativos.

Mysk dijo que la lectura del portapapeles en las aplicaciones de Android es “incluso peor” que en iOS porque las API del sistema operativo son mucho más indulgentes.

Hasta la versión 10, por ejemplo, Android permitía que las aplicaciones que se ejecutaban en segundo plano leyeran el portapapeles.

Las aplicaciones de iOS, por el contrario, pueden leer o consultar portapapeles solo cuando están activas (es decir, se ejecutan en primer plano).

Mysk dijo que la función de notificación de Apple es un buen comienzo pero, en última instancia, Apple y Google deberían hacer más.

Una posibilidad es hacer que el acceso al portapapeles sea un permiso estándar, tal como lo es ahora el acceso a un micrófono o una cámara.

Otra posibilidad es exigir a los desarrolladores de aplicaciones que revelen con precisión a qué datos del portapapeles se accede y qué hace la aplicación con ellos.

Por ahora, los usuarios deben estar conscientes de que cualquier información almacenada en el portapapeles, a pesar de que no sea visible a simple vista, puede ser visitada regularmente por aplicaciones que en muchos casos ni siquiera se instalan localmente en el dispositivo.

En caso de duda, elimine los datos del portapapeles copiando un carácter, una palabra u otro dato inocuo.

Fuente y foto: https://arstechnica.com/gadgets/2020/06/tiktok-and-53-other-ios-apps-still-snoop-your-sensitive-clipboard-data