パスワードやアカウント情報が含まれている可能性
paste数十ものiOSの人気アプリがユーザーの同意なしにペーストボード(コピー内容の保存場所)の内容を読み取っており、その中には個人情報が含まれている可能性があるとの調査結果が報じられています。iOSアプリ開発者のTalal Haj Bakry氏とTommy Mysk氏は共同で、人気のあるゲームやSNSアプリ、主要な報道機関のニュースアプリまで幅広く対象として、アップル公式ツールを使い、それらの動作を監視および分析。その結果、TikTok、8 Ball Pool™、Hotels.comなど多くのアプリが起動するたびにペーストボード(コピーした内容のリスト)にあるテキストをひそかに読み取っていると判明したとのことです。
iOS 13.3以降、iOSおよびiPadOSアプリは、クリップボードとも呼ばれるシステム全体で共通のペーストボードに無制限にアクセスできます。それが買い物リスト等であればさして問題はありませんが、パスワードや財務情報など非常に機密性の高いデータが含まれている可能性もあります。
こうした脆弱性の潜在的なセキュリティリスクは、以前にもBakry氏とMysk氏により調査されており、ペーストボードから正確な位置情報が漏れていたことも判明したと報告されていました。
これらアプリの中には、テキストを扱うUIを提供していないゲームなども多く含まれていますが、それでも起動のたびにペーストボードを読みに行くのがいっそう怪しまれているわけです。
また、複数のMacとiOS/iPadOS機器でクリップボードを連係するユニバーサルクリップボードが有効になっている場合は、Mac上でコピーされたテキストにもアクセスできると指摘されています。
これらペーストボードを読みに行くアプリが、その後どのようにデータを処理しているか不明ですが、今後の調査結果を待ちたいところです。
https://japanese.engadget.com/jp-2020-03-16-tiktok-ios.html
