Schon Anfang des Jahres wurde bekannt, dass iOS 13 ein Problem damit hat, dass Apps auf Texte zugreifen können, die im Clipboard getippt werden. Dass dies nicht nur theoretisch eine Sicherheitsbedrohung ist, sondern auch in der Praxis riskant ist, offenbart spätestens iOS 14 im großen Stil.
Das neue Betriebssystem, das bereits in der Beta-Version erhältlich ist, und im Herbst ordentlich veröffentlicht werden soll, hat ein Feature, dass User benachrichtigt, wenn sich Apps dieser Clipboard-Texte zu eigen machen. In der Praxis sieht das folgendermaßen aus:
Okay so TikTok is grabbing the contents of my clipboard every 1-3 keystrokes. iOS 14 is snitching on it with the new paste notification pic.twitter.com/OSXP43t5SZ
— Jeremy Burge (@jeremyburge) June 24, 2020
Im Video-Clip seht ihr, wie der Unternehmer und Emoji-Experte Jeremy Burge die Nachricht tippt:
“OK TikTok bitte stiehl nicht meine Clipboard-Inhalte während ich einen Kommentar schreibe”.
TikTok ist auf diese Kritik beim Business-Magazin Forbes eingegangen. Dort bezog Bytedance, das Unternehmen hinter TikTok Stellung und schob die Schuld auf eine veraltete Werbe-SDK (Software Development Kit) von Google. Zwar sind solche SDKs häufig Ursache für Probleme, aber genau deshalb sind sie auch die Lieblingsausrede vieler Unternehmen. Die betroffenen Stellen im Code sollen dementsprechend ausgetauscht worden sein.
Inzwischen hat sich jedoch herausgestellt, dass der Exploit noch immer besteht. Zumindest erscheinen bei iOS-14-Nutzern immer noch die gleichen Meldungen, dass TikTok die Texte kopiert. TikTok meldete sich daraufhin erneut bei Forbes und hat nun eine neue Ursache ausfindig gemacht.
Ein Feature soll die Meldungen auslösen, das “dazu designet ist repetitives Spam-Verhalten zu erkennen”. Es sei schon eine neuere Version dem App-Store übergeben worden, dass dieses Feature nicht mehr enthält. Der Forbes-Journalist Zoffman schenkt dieser Aussage wenig Glauben. Mit dem Hintergrund, dass dies nicht das erste Mal ist, dass TikTok Bedenken bzgl. seiner Sicherheit auslöst, ist dies auch verständlich. Ende letzten Jahres hatte die US-Marine ihren Soldaten verboten, auf Marine-Geräten die chinesische App zu installieren. Ein Hinweis darauf, dass es womöglich noch andere Backdoors gibt oder zumindest gegeben hat.
Wenn ihr die App nutzt und angesichts dieser Enthüllung auch weiterhin nutzen wollt, solltet ihr also unbedingt auf die neueste Version updaten, sobald sie erhältlich ist. Ihr müsst dabei im Hinterkopf behalten, dass die App sonst alles auslesen kann, was ihr im Clipboard abtippt. Dazu gehören gerne auch mal sehr persönliche Nachrichten. Da die App auch ein Feature für Direktnachrichten hat, in denen ihr nur vermeintlich Privatssphäre besitzt, ist die ganze Sache also äußerst bedenklich.
TikTok ist bei weitem nicht der einzige Fall, bei dem eine App, diese Security-Lücke nutzt. Es ist aber mit Abstand eine der größten und bekanntesten Apps. Da iOS-14 jetzt offenlegt, welche Apps diese Lücke tatsächlich nutzen, wird es wohl nach und nach immer mehr Nachzügler bei diesem Skandal geben.
Was ByteDance mit den Daten macht oder gemacht hat, ist leider für uns alle eine Blackbox. Zu kritisieren ist aber auch Apple, die diese Sicherheitslücke überhaupt erst ermöglicht haben. Mit iOS 14 wird diese Lücke aber in jedem Fall geschlossen werden und die Benachrichtigung in der Beta-Version war und ist ein wichtiger Schritt, um Apps und Unternehmen bei frischer Tat zu ertappen.
Update: Mit Clipboard ist die Zwischenablage gemeint. Es ist damit nicht die Zwischenablage gemeint, wenn ihr Texte nach dem Prinzip Strg + C kopiert, sondern die allgemeine Zwischenspeicherung bei der eure Tastenanschläge zur jeweiligen Anwendung weitergeleitet werden. Texte, die ihr auf TikTok abtippt, werden auf eurem Handy zwischengespeichert. In dieser Zwischenspeicherung greift TikTok also eure Texte ab.
Bei Android gibt es keine Transparenz, ob eine ähnliche Sicherheitslücke auch von Apps wie TikTok genutzt wird. Bisher wurde weder Google noch TikTok für dieses Problem zur Rede gestellt. An sich muss dies aber nicht bedeuten, dass Google dies den Apps nicht auch ermöglicht.
