Die Sicherheitsforscher Talal Haj Bakry und Tommy Mysk haben erneut kritisiert, dass Apps wie TikTok unnötigerweise unter iOS auf die Zwischenablage zugreifen und deren Inhalte auslesen – ohne Wissen der Nutzer. Wie Ars Technica berichtet, hatten sie bereits im März auf dieses Problem hingewiesen. Nun fanden sie erneut 54 Apps, die dieses Verhalten zeigen, darunter weiterhin die chinesische Video-App.
Ihrer Untersuchung zufolge rufen die fraglichen Apps wiederholt über eine iOS-Programmierschnittstelle die Inhalte der Zwischenablage ab. Die Gründe dafür sind den Forschern nicht bekannt. Die Zwischenablage kann unter anderem Texte oder auch vertrauliche Daten wie Kennwörter enthalten, die Nutzer von einer App in eine andere kopieren wollen. Dass Apps von Drittanbietern bei diesem Vorgang „mitlauschen“ können, dürfte den wenigsten bewusst sein.
Erschwerend kommt dem Bericht zufolge hinzu, dass iOS-Geräte wie iPhones und iPads, die dieselbe Apple ID verwenden, eine gemeinsame Zwischenablage nutzen, sobald der Abstand zwischen ihnen weniger als etwa drei Meter beträgt. Eigentlich soll diese Technik die Übertragung bestimmter Informationen von einem Gerät auf ein anderes vereinfachen – und nicht neugierigen Apps einen Zugang zu Daten eines anderes Gerät ermöglichen.
„Das ist sehr, sehr gefährlich“, zitiert Ars Technica einen der Sicherheitsforscher. „Diese Apps lesen die Zwischenablage und es gibt keinen Grund dafür. Eine App, die kein Feld für eine Texteingabe hat, hat keinen Grund, Texte in der Zwischenablage zu lesen.“
Apple ist das Problem offenbar auch bekannt. Statt es zu unterbinden, informiert iOS 14 Nutzer nun über jegliche Zugriffe auf die Zwischenablage. Der Nutzer Ryan Jones zeigt die neue Funktion mit ihren Auswirkungen seit vergangener Woche in einem Youtube-Video.
TikTok wird gerne als Beispiel für diese Praxis herangezogen, weil die App nicht nur mehrere Hundert Millionen Nutzer hat, sondern auch weil deren Entwickler im März gegenüber der britischen Zeitung The Telegraph angekündigt hatten, das Verhalten in den kommenden Woche einzustellen. Die neuen Benachrichtigungen unter iOS 14 sollen indes belegen, dass TikTok weiterhin alle „ein bis drei Tastaturanschläge“ den Inhalt der Zwischenablage abruft.
In einer Stellungnahme, die Ars Technica vorliegt, spricht TikTok von einer Anti-Spam-Funktion, für die die Zwischenablage benötigt wird. Aufgrund der Reaktionen nach der Vorstellung von iOS 14 haben man nun eine aktualisierte Version der App bei Apple eingereicht, „um mögliche Missverständnisse“ auszuräumen. In die Android-Version der TikTok-App sei die Anti-Spam-Funktion nie integriert worden.
Das Problem ist aber nicht auf TikTok begrenzt. Die Forscher werfen auch diversen Spielen und Nachrichten-Apps vor, unnötigerweise die Zwischenablage von iOS-Geräten auszuspähen. Darunter sind Anwendungen von namhaften Anbietern wie Fox News, New York Times, Reuters und Wall Street Journal. Hierzulande sollen die Apps ntv Nachrichten und Stern Nachrichten dieses Verhalten zeigen. Auch die Apps von Sky Ticket und Dazn sind demnach betroffen.
Das automatische Auslesen des Zwischenablage kann Nutzern auch Vorteile bieten. So bietet die UPS-App für iOS Nutzern automatisch ihre Tracking-Funktion an, sobald sie in der Zwischenablage eine Sendungsnummer erkennt. Google Chrome wiederum reagiert auf Zeichenfolgen, die einer URL entsprechen.
Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud
In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.
Neueste Kommentare
1 Kommentar zu TikTok und weitere 53 iOS-Apps lesen weiterhin die Zwischenablage aus
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Schöner Artikel. Ich habe mich zum Thema auch bereits geäußert:
Das Problem ist, dass das Ganze ungefragt passiert. Ich weiß nicht, inwieweit das mit der DSGVO quer liegt. Aber ich kann mir nicht vorstellen, dass das einfach so erlaubt ist.
Im Prinzip kann man als Nutzer nur die Finger von TikTok lassen. Alles andere ist einfach viel zu riskant, was den Datenschutz betrifft.