Компьютеры и программы

TikTok влезает в буфер обмена на iOS и попал под полный запрет в Индии

Исследователи в области информационной безопасности обнаружили, что ряд популярных приложений для iOS, в том числе сервис коротких видео TikTok, без ведома пользователя при запуске зачем-то вытаскивают данные из буфера обмена устройства.

Также было выявлено, что они извлекают данные из буфера намеренно. Важно и то, что речь идет о чувствительных данных: логинах/паролях из менеджера паролей, номера кошельков и прочей конфиденциальной информации.

ArsTechinca предоставила полный перечень опасно ведущих себя приложений для iOS по категориям:

App Name — BundleID

News
ABC News — com.abcnews.ABCNews
Al Jazeera English — ajenglishiphone
CBC News — ca.cbc.CBCNews
CBS News — com.H443NM7F8H.CBSNews
CNBC — com.nbcuni.cnbc.cnbcrtipad
Fox News — com.foxnews.foxnews
News Break — com.particlenews.newsbreak
New York Times — com.nytimes.NYTimes
NPR — org.npr.nprnews
ntv Nachrichten — de.n-tv.n-tvmobil
Reuters — com.thomsonreuters.Reuters
Russia Today — com.rt.RTNewsEnglish
Stern Nachrichten — de.grunerundjahr.sternneu
The Economist — com.economist.lamarr
The Huffington Post — com.huffingtonpost.HuffingtonPost
The Wall Street Journal — com.dowjones.WSJ.ipad
Vice News — com.vice.news.VICE-News
Games

8 Ball Pool — com.miniclip.8ballpoolmult

AMAZE!!! — com.amaze.game

Bejeweled — com.ea.ios.bejeweledskies

Block Puzzle —Game.BlockPuzzle

Classic Bejeweled — com.popcap.ios.Bej3

Classic Bejeweled HD —com.popcap.ios.Bej3HD

FlipTheGun — com.playgendary.flipgun

Fruit Ninja — com.halfbrick.FruitNinjaLite

Golfmasters — com.playgendary.sportmasterstwo

Letter Soup — com.candywriter.apollo7

Love Nikki — com.elex.nikki

My Emma — com.crazylabs.myemma

Plants vs. Zombies Heroes — com.ea.ios.pvzheroes

Pooking – Billiards City — com.pool.club.billiards.city

PUBG Mobile — com.tencent.ig

Tomb of the Mask — com.happymagenta.fromcore

Tomb of the Mask: Color — com.happymagenta.totm2

Total Party Kill — com.adventureislands.totalpartykill

Watermarbling — com.hydro.dipping

Social Networking

TikTok — com.zhiliaoapp.musically

ToTalk — totalk.gofeiyu.com

Tok — com.SimpleDate.Tok

Truecaller — com.truesoftware.TrueCallerOther

Viber — com.viber

Weibo — com.sina.weibo

Zoosk — com.zoosk.Zoosk

Other

10% Happier: Meditation —com.changecollective.tenpercenthappier

5-0 Radio Police Scanner — com.smartestapple.50radiofree

Accuweather — com.yourcompany.TestWithCustomTabs

AliExpress Shopping App — com.alibaba.iAliexpress

Bed Bath & Beyond — com.digby.bedbathbeyond

Dazn — com.dazn.theApp

Hotels.com — com.hotels.HotelsNearMe

Hotel Tonight — com.hoteltonight.prod

Overstock — com.overstock.app

Pigment – Adult Coloring Book — com.pixite.pigment

Recolor Coloring Book to Color — com.sumoing.ReColor

Sky Ticket — de.sky.skyonline

The Weather Network — com.theweathernetwork.weathereyeiphone

Как видно, «неспортивно» ведут себя почти все американские новостные приложения, Russia Today, а также такие популярные игры, как Fruit Ninja и PUBG Mobile. Почти ожидаемо засветился в списке Weibo и Viber.

Важна и сама механика чтения буфера. Если ранее сообщалось, что чтение данных из буфера производится каждый раз при открытии/запуске приложения, то на прошлой неделе было выявлено, что это происходит каждый раз, когда пользователь вводит символ пробела, запятую или точку. То есть, чтение буфера происходит чуть ли не в режиме реального времени, когда владелец устройства использует смартфон.

О странном поведении приложений, а конкретно TikTok’а, стало известно еще в марте. Тогда же разработчики обязались исправить ситуацию с вторжением в пользовательский буфер обмена.

На самом деле, недобросовестные мобильные разработчики и дальше продолжали бы безнаказанно собирать данные, если бы не новая функция iOS 14 по борьбе с popup-рекламой и другими «серыми» и «черными» приемами мобильной рекламы. Недобросовестные рекламщики и раньше «влезали» в буфер обмена устройств и стучались глубже, чему инженеры из Купертино решили начать мешать. Так, на iOS 14 срабатывает нативная защита от всплывающей рекламы, если приложение влезает в буфер обмена.

Еще один звоночек, что на мобильном рынке не все спокойно, — это ограничения доступа к 59 китайским приложениям со стороны правительства Индии.


Список приложений, опубликованный bobuk в его техническом ТГ-канале «Addmeto»

На самом деле, эти два события — проблемы с TikTok и 52 приложениями на iOS и давление на китайские разработки на индийском рынке — связаны между собой.

Правительство бурно растущей Индии оценило TikTok как потенциально опасное приложение, которое «слишком вольно обращается с конфиденциальными данными пользователей», в том числе и из-за чтения буфера обмена. В этой формулировке индийское правительство абсолютно право, но конфликт намного глубже.

Китайские инвестиции в IT-сегмент Индии — колоссальны. Больше половины индийских компаний-единорогов были запущены и развиваются на китайские деньги. Отчет о китайских инвестициях в индийскую экономику можно почитать вот тут (PDF).

Фактически, под предлогом борьбы с таким популярным приложением, как TikTok, правительство Индии пытается отвоевать часть собственного мобильного рынка, который по перспективам роста уступает лишь китайскому.

Нездоровое поведение разработчиков на iOS вкупе с экспансией китайского капитала показывает, что мы стремительно движемся сразу к нескольким крупным кризисам мобильного сегмента. В частности, общество рискует столкнуться с систематическим нарушением конфиденциальности из-за стремления максимально монетизировать приложение там, где исторически все «отпроприетарено и огорожено». Скачивание приложения из appStore всегда было для пользователя гарантией, что с ним «все чисто». Кроме того, люди привыкли доверять брендам и крупным сетям.

Сейчас же мы видим, что китайский TikTok, поддерживаемый китайским же капиталом, шарится по буферу, а следом за ним идут вполне себе американские телеканалы и популярные игры. Причем о проблеме известно с марта, но приложение до сих пор в сторе, а разработчики просто «обещают все поправить», но не особо торопятся.


Поделиться ссылкой:

Похожие статьи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть
Закрыть