6 juli 2020 11:30

LinkedIn, TikTok en Reddit lossen privacyprobleem in iOS-app op

Een nieuwe beveiligingsfunctie voor iOS 14 heeft ontdekt dat enkele apps zoals LinkedIn, TikTok en Reddit notities uit andere apps kopiëren.

Beveiligingsonderzoekers ontdekten dat sommige apps in het besturingssysteem notities uit andere applicaties kopiëren om posts en reacties aan te vullen. Daarvoor gebruikten ze een nieuwe privacyfunctie voor iOS 14 die in september gelanceerd wordt, maar nu al beschikbaar is voor ontwikkelaars via een bèta. De functie toont dat wanneer je een tekst typt, van welke applicatie de app aan het kopiëren is. Meestal gaat het om klemboardapps.

Enkele apps die eerst genoemd werden dit gedrag te vertonen waren TikTok en LinkedIn. Dit was duidelijk te zien in enkele video’s op Twitter. Een reactie vanuit LinkedIn bleef niet snel uit. Erran Berger van LinkedIn reageerde dat dit komt door een stuk code die een check uitvoert tussen notities en wat iemand in de app intypt. Wat het precieze nut van die check is, blijft eerder onduidelijk. Maar LinkedIn zou nooit notities bewaren.

Here is LinkedIn copying and pasting from my notes app “Bear” pic.twitter.com/CsjocmjUm4
— d (@m0nald) July 2, 2020

Het probleem wordt dus vooral als een bug afgeschilderd. Diezelfde Berger liet inmiddels aan aan The Verge weten dat er spoedig een fix voor het probleem zal komen. De doelbewuste code wordt verwijderd. Ook TikTok liet weten de praktijk zo snel mogelijk stop te zetten. Volgens TikTok was het onderdeel van een antispamfunctie.

Hi @DonCubed. Appreciate you raising this. We've traced this to a code path that only does an equality check between the clipboard contents and the currently typed content in a text box. We don't store or transmit the clipboard contents.
— Erran Berger (@eberger45) July 3, 2020

Reddit

Het duurde niet lang of de bug werd nog in andere apps ontdekt. Twitteraar DonCubed noemde daarbij Reddit. De verklaring die Reddit gaf voor het probleem was vrij gelijkaardig aan die van LinkedIn. Het zou opnieuw gaan om een stuk code die in klemborden gaat zoeken naar notities en op basis daarvan suggesties doet aan de gebruiker. Ook Reddit verzekerde dat het nooit teksten uit een andere applicatie opslaat in de eigen database. Reddit zal de code eveneens verwijderen en hoopt tegen 14 juli een patch klaar te hebben.

Eerste berichten dat sommige iOS-apps in je klembord neuzen dateren eigenlijk al van februari. Twee iPhone-ontwikkelaars Talal Hak Bakry en Tommy Mysk schreven er toen een blogpost over. Eind maart berichtte de Britse krant The Telegraph er ook al over. Maar het lijkt dus tot nu geduurd te hebben vooraleer het probleem echt bekend is geraakt, en bedrijven er ook aandacht aan besteden. Met de lancering van iOS 14 en de nieuwe privacyfunctie in september zou het zeker kunnen dat er nog apps schuldig aan het kopieergedrag worden bevonden.