Appleが今秋リリース予定の「iOS 14」の開発者向けベータ版を利用したユーザーから、人気アプリ「TikTok」がユーザーのクリップボード情報にアクセスしていることが報告されています。セキュリティ研究者からは、ユーザーに気づかれずに情報にアクセスしていたことを問題視する声もあります。また同様の動作は、TikTok以外のアプリでも確認されています。
TikTok、ユーザーに気づかれずにクリップボード情報を収集
Appleが今秋リリース予定としている「iOS 14」の開発者向けベータ版を利用したユーザーから、人気アプリ「TikTok」がクリップボード内の情報を収集しているようだと指摘されています。
iOS 14では、プライバシー保護対策として、ユーザーのデータをアプリが読み取るたびに、通知センターに「○○(アプリ名) pasted from △△(参照元)」とメッセージが表示されるようになります。
このプライバシー対策の強化を受け、ユーザーに気づかれずにユーザーデータにアクセスしていることが可視化されたという結果。Twitterに投稿された動画を見る限り、数文字ほど入力するたびにクリップボードの情報を収集していることが判明しています。
iOS 14 beta has a banner to confirm when you paste from another device (eg copy on a Mac and paste on iPhone)
— Jeremy Burge (@jeremyburge) June 24, 2020
Seems to be bugging out and showing with every keystroke in TikTok pic.twitter.com/aFKNfZnpyb
Telegraphによると、TikTokの広報担当者は「スパム行為を特定するために設計された昨日によって起こった。すでにApp Storeにアップデートを出し、問題となったスパム対策機能を削除した」と説明しているといいます。
このクリップボードのデータが、TikTok側に送信されていたのか、同機能が実装されていた期間については明言を避けています。
「Weibo」「New York Times」「The Huffington Post」「PUBG」など多くのアプリで確認
問題となっているクリップボードの情報を収集しているような動作は、多数のアプリで確認されています。
一例として、Google News、ABC NEWS、New York Times、The Huffington Post、The Wall Street Journalなどのニュースアプリ。PUBG Mobile、Fruit Ninja、などのゲームアプリ。Viber、WeiboなどのSNSが報告されています。
クリップボードの情報にアクセスする動作が不具合なのか、目的をもったデータ収集なのか、データ収集ならばどのような目的で行われていたのか。セキュリティ研究者は、クリップボードに個人情報が残されていることも考えられ、現状ではクリップボードへのアクセスはアプリの権限が必要ないことを指摘しています。