IThon.hu | Techben otthon vagyunk!

Ismét áll a bál a túl kíváncsi appok miatt

Tavasz óta zajlik az adatvédelmi háború aktuális csetepatéja: egy sor iOS-alkalmazás bukott le azzal, hogy a háttérben látszólag indokolatlanul hozzáférnek a vágólap tartalmához. A botrány olyan neveket érint, mint a TikTok, a LinkedIn, vagy éppen a Reddit, miközben az Apple már egy új értesítést tesztel az iOS 14 bétájában.

Korunk egyik slágertémája kétségkívül a személyes adatok védelme. Az olyan események, mint Edward Snowden kitálalása az amerikai Nemzetbiztonsági Ügynökség információgyűjtési eljárásairól, vagy a Facebookhoz kötődő Cambridge Analytica-botrány ráirányították a társadalom figyelmét a digitális adatbiztonság fontosságára. Napjainkra már nehéz olyan felhasználót találni, aki ne kezelné kész tényként, hogy az okoskütyük kémkednek utánunk, ez az egyre gyanakvóbb közhangulat pedig megteremtette az igényt a letölthető alkalmazások háttérfolyamatainak behatóbb ellenőrzésére.

Talal Haj Bakry és Tommy Mysk egy ilyen vizsgálatot folytatott le még márciusban, melynek során arra jutottak, hogy számos népszerű iOS-es app a háttérben is hozzáfér a vágólapunk tartalmához. A kutatás során lebukott alkalmazások szabadon ráláthattak a kimásolt/kivágott karakterekre, legyenek azok egyszerű szövegek, jelszavak vagy akár banki adatok.  A „trükk” az univerzális vágólap révén ráadásul akkor is működik, ha az alkalmazás egy másik eszközön fut, amíg az 3 méteres távolságon belül van, s ugyanazt az Apple ID-t használja. Az 56 kíváncsiskodót tömörítő első feketelistára olyan hatalmas felhasználói bázissal bíró appok is felkerültek, mint a CNBC és a Fox News, a Fruit Ninja, a Viber, vagy a TikTok.

Az aggasztó jelenséget lefülelő bejegyzés ugyan már eleve keltett némi visszhangot, de a vágólap-botrány igazi eszkalálódását végül az Apple hozta el az iOS 14 béta verziójával. A cupertinóiak következő mobil operációs rendszere ugyanis egy vadonatúj biztonsági értesítéssel bővíti a repertoárt, ami minden egyes esetben figyelmezteti a felhasználót, ha egy alkalmazás hozzáfért a vágólap tartalmához. A funkció hasonlóan működik, mint az iOS 13-nál a Bluetooth használatával kapcsolatos tájékoztató ablakok, ám itt nincs lehetőségünk letiltani a műveletet, egyszerűen csak kapunk egy tömör jelentést, hogy az adott app végrehajtotta a másolást.

A bétát telepítő felhasználók így az utóbbi napokban sorra buktatták le az újabb és újabb alkalmazásokat. A „clipboard snoopingon” kapott appok közé bekerült például az időjárásjelentésekkel szolgáló Weather Network, de a LinkedIn, és a Reddit is. Magyarázata persze mindegyiküknek akadt a dologra. A Weather Networkből például hamar eltávolították a másolásért felelős kódsort, a fejlesztők pedig vonatkozó Twitter-posztjukban kijelentették, hogy kizárólag diagnosztikai céllal használták a funkciót. A LinkedIn mérnöke úgy nyilatkozott, hogy csupán a gépelés és a vágólap tartalmának összevetése miatt alkalmazták az eljárást, míg a Redditnél állítólag az URL-alapú címjavaslatok automatikus elkészítését segítették a trükkel.

A legnagyobb botrány azonban a rendkívül népszerű kínai közösségi oldal, a TikTok alkalmazása körül kerekedett. A 800 milliónál is több felhasználóval bíró zenés-videós platform évek óta a kritikák keresztüzében áll, többek között a cenzúrázott tartalmak és a pedofilok miatt, az amerikai kormány pedig tavaly még egy vizsgálatot is indított ellene, méghozzá esetleges nemzetbiztonsági kockázatok után kutatva. A média és a közvélemény így már Bakry és Mysk márciusi bejelentésekor ráharapott, hogy a TikTok a vágólapok tartalma körül szimatol.

A közösségi oldal mögött álló pekingi Bytedance még a tavasszal ígéretet tett, hogy megszünteti a szövegek kéretlen másolását, ám az iOS 14 új funkciója egyértelműan rámutatott, hogy erre végül nem került sor. A bétát tesztelő felhasználók jelentései alapján ugyanis a TikTok-app még néhány napja is élénken figyelte a vágólapot, szinte minden egyes leütést azonnal kiragadva. A kínos lebukást követően a cég ezúttal valóban cselekedett, s egy június 27-i frissítéssel eltávolították a műveletért felelős kódot. A TikTok szóvivője úgy nyilatkozott, hogy a kimásolt adatokat sosem tárolták, azokat kizárólag a spammelést megakadályozó ellenőrzéshez használták. Akárhogy is legyen, annyi bizonyos, hogy a kínai platformnak sajátos rekordot beállítva kétszer is sikerült elcsúsznia ugyanazon a banánhéjon.

A vágólapok monitorozását eredetileg felfedező páros egyik tagja, Tommy Mysk egy interjúban elmondta, hogy rendkívül veszélyesnek tartja az eljárást. A biztonsági szakember szerint azoknak az alkalmazásoknak, melyek kitölthető szövegmezőkkel rendelkeznek, egyszerűen nem lehet jogos okuk arra, hogy engedély nélkül kémleljék a vágólapok tartalmát. Az iOS 14 új figyelmeztetéseiről Mysk (akinek az Apple részéről állítólag megerősítették, hogy a kutatásuk miatt valósult meg a funkció) úgy vélekedik, hogy kezdetnek jók, de az Apple-nek és a Google-nek többet kéne tennie, például azzal, hogy lehetővé teszik a felhasználóknak a másolás megtagadását.

Forrás: 9to5Mac

S ha már Google, bizonyára sokakat érdekelhet, hogy mi a helyzet az Androiddal? Eddig kizárólag az iOS-ről volt szó, ám úgy tűnik, hogy az Alphabet nyílt forráskódú rendszerének felhasználói sem lehetnek nyugodtak. Mysk személyes véleménye az, hogy az Android esetében még aggasztóbb az eljárás, mivel a robotos oprendszer programozási felületei (API-jai) jóval elnézőbbek az iOS megoldásánál. A szakember arra is rámutatott, hogy egészen az Android 10-ig a háttérben futó alkalmazások is hozzáfértek a vágólap tartalmához (az iOS-nél elvileg ez csak az éppen futó appok számára lehetséges).

A botrányban érintett alkalmazások egyébként az elmúlt hetekben sorra feladták a vágólapok tartalmának rögzítését, Mykék listáján például az appok többsége már ki van húzva, érzékeltetve, hoy többé nem érvényes rájuk a megállapítás. Arról közben nincs pontos képünk, hogy a sosem vizsgált milliónyi alkalmazás körében mennyire gyakori az efféle a szimatolás, de elképzelhető, hogy az ügy hatására az Apple és a Google végül lépni fognak, és teljesen letilthatóvá teszik a műveletet. Arra viszont nem érdemes számítani, hogy magától hal ki a módszer, megfelelően alkalmazva ugyanis kifejezetten hasznos lehet. A Google Chrome  például az URL-eket képes így automatikusan „kihúzni” a vágólapról, a Pixelmator fotós app pedig fényképes tartalmat észlelve magától felajánlja a szerkesztés lehetőségét.

Forrás: Ars Technica, The Verge, Reddit

Borítókép: The Week

Kapcsolódó cikkeink

Végre használható lesz a Gmail iOS-es widgete

Anikó

Még több aggodalomra adnak okot az Apple biztonságtechnikai törekvései

Anikó

Kevesebben telepítik az iOS 15-öt, mint a 14-et

Anikó