TikTok и другие программы следят за вами

Исследователь Талал Хадж Бакри в паре с Томми Миском  выяснили, что тексты пользовательского буфера, можно легко извлечь при открытии интерфейса iOS. Сама возможность считывания буферного содержимого, хранящего в себе данные почтовиков и программ-хранителей паролей, является грубым нарушением и вторжением в личную жизнь. 
 
Аналогичные нарушения конфиденциальности в работе были обнаружены почти у полусотни iOS-программ. В список нарушителей попал и «TikTok» - соцсеть Китая для пользовательского обмена видеофайлами, обещавший устранить проблему.
 
Об универсальной слежке
Скрытое извлечение данных происходит из общего буфера для всех устройств Apple на расстоянии чуть более 3 метров. Так, с помощью приложений iOS происходит переброс конфиденциальных данных между устройствами с одинаковым идентификатором Apple ID. 
 
Миск говорит о том, что считывание текстовых данных из буфера непозволительно программам, функционирующим без собственного текстового поля. 
 
TikTok и не только…
База пользователей этой, продолжающей набирать популярность, соцсети насчитывает более 800 млн. человек. В марте издание «The Telegraph» получило заверение от провайдера хостинга о скором прекращении слежки. Однако считывание данных из буфера продолжается. 
 
Также выяснилось, что в отличие от мартовского исследования, не только при открытии приложения, а ежесекундно – при каждом действии пользователя. Исследователями были обнаружены и другие приложения iOS, которые при каждом их открытии считывают буферные данные пользователей:
 
 
 
 
 
Ни одно из этих приложений, включая TikTok, не прекратило скрытую и ничем не оправданную слежку. 
 
Когда считывание буфера легально
Иногда эта процедура может быть полезной. Так, некоторые приложения считывают данные с целью упростить пользователю вход, для быстрого поиска нужного файла или страницы (для браузеров). Механизм чтения данных здесь прозрачен и имеет конкретную цель, при этом программы запрашивают у пользователя разрешение на отслеживание соответствующих пакетов.
 
Миск убежден, что Google и Apple обязаны запрашивать у пользователя разрешение на доступ к буферу и запрос этот должен стать стандартным. В противном случае пользователи вправе требовать у разработчиков:
перечень данных, считываемых с их устройств;
объяснения относительно цели считывания.
 
Пользователям сейчас необходимо запомнить, что все их данные могут быть легко считаны приложениями, даже не всегда установленными на их устройстве. Что касается буфера обмена, советуем чаще очищать его, а лучше – после каждой вставки скопированного файла, текста, слова или буквы.