TikTok небезпечний: додаток отримує дані вашого смартфона кожну секунду

Це може бути будь-яка інформація: ваша пошта, чийсь номер телефону, паролі. Але інформація, яка надходить в буфер обміну, може бути не тільки текстовою. Це можуть бути ваші фотографії, включаючи фото сексуального характеру, відео, звукові файли, текстові та інші документи. Тобто взагалі будь-яка інформація.

Але головною проблемою виявилося один з найпопулярніших додатків в світі – TikTok. Соціальна мережа звертається до буферу обміну щоразу, коли користувач набирає будь-який з знаків на клавіатурі:

Okay so TikTok is grabbing the contents of my clipboard every 1-3 keystrokes. iOS 14 is snitching on it with the new paste notification pic.twitter.com/OSXP43t5SZ

— Jeremy Burge (@jeremyburge) June 24, 2020

Так як людина набирає повідомлення досить швидко, то і до буферу обміну TikTok звертається практично кожну секунду. При цьому, на відміну від Google Chrome, який зчитує посилання і пропонує по ним перейти, TikTok робить це без будь-якої аргументації.

ПРОДОВЖЕННЯ ПІСЛЯ РЕКЛАМИ

Три місяці тому соціальну мережу вже викривали в надмірному інтересі до даних, доступ до яких вона не повинна мати. Так, в березні дослідники безпеки виявили , що кілька додатків, включаючи TikTok, звертаються до буферу обміну щоразу, коли додаток відкривається і закривається. При цьому, після питання The Telegraph , керівництво соціальної мережі оголосило, що найближчим часом ця функція буде виключена.

Потім користувач Reddit, що ховається під ніком bangorlol, опублікував в квітні пост, де докладно розповів, до яких даними має доступ TikTok:

• Який у вас телефон, а також всі його характеристики;
• Інформація про інші додатки на вашому смартфоні, включаючи віддалені;
• Вся інформація, відома про мережу, в якій ви сидите: mac-адресу, IP, ім’я точки доступу Wi-Fi;
• Чи був ваш смартфон відновлений або зламаний;
• Відстеження місця розташування за допомогою GPS кожні тридцять секунд;
• ByteDance налаштовує на вашому пристрої локальний сервер для транскодування відео, але у нього нульова аутентифікація, так що цією функцією можна легко зловжити;
• Все налаштовується віддалено, а поведінка додатку змінюється, коли він розуміє, що користувач намагається зрозуміти, які дані використовує TikTok.

Повний звіт можна прочитати на Google Docs англійською мовою.

І ось в кінці червня з’ясувалося, що під «вимкнено» ByteDance, що займається розробкою TikTok, розуміє щось дивне: частота звернень до буферу тільки збільшилася. Однак ж тепер розробники поміняли свою точку зору на цю «фічу»:

Після виходу бета-версії iOS 14 22 червня користувачі почали отримувати повідомлення при використанні ряду популярних додатків. У TikTok вони були викликані функцією, призначеної для виявлення спамерів. Ми вже представили оновлену версію програми в App Store, видаливши функцію захисту від спаму. Це допоможе виключити можливу плутанину.

ByteDance

Уразливість була повторно виявлена ​​тиждень тому, але на момент написання цього тексту ByteDance ніяк не виправити проблему.

При цьому було заявлено, що на Android такої функції «антиспам» не було зовсім. Однак дослідники безпеки підкреслюють, що API-інтерфейси цієї ОС набагато м’якше, так що читання буфера обміну відбувається «ще гірше». Так, наприклад, до релізу Android 10 додатка мали доступ до буферу обміну навіть в той момент, коли вони були неактивні.