Vergangene Woche habe ich euch darüber berichtet, dass die TikTok-App allem Anschein nach den Zwischenspeicher der User kopiert. Nun hat sich am Donnerstag herausgestellt, dass auch zwei weitere größere Apps sich Ähnliches erlauben. Es handelt sich um die Apps von LinkedIn und Reddit, womit wiederum Millionen von Nutzern betroffen sind.
Die beiden Apps wurden dabei auf die gleiche Weise überführt wie zuvor schon TikTok. Ein neues Feature auf iOS 14 meldet es dem User, wenn eine App Daten aus dem Zwischenspeicher abgreift. So kann jeder einzelne Tastenanschlag von einer App gespeichert werden. Ein massiver Bruch mit gängigen Datenschutz-Statuten.
Die Beobachtung hat diesmal der User “Don from urspace.io” auf Twitter gemacht:
LinkedIn is copying the contents of my clipboard every keystroke. IOS 14 allows users to see each paste notification.
I’m on an IPad Pro and it’s copying from the clipboard of my MacBook Pro.
Tik tok just got called out for this exact reason. pic.twitter.com/l6NIT8ixEF
— Don 𝘧𝘳𝘰𝘮 urspace.io (@DonCubed) July 2, 2020
In diesem Video-Clip auf Twitter seht ihr, wie jeder einzelne Tastenanschlag die Benachrichtigung auslöst, dass die App die Daten kopiert.
UPDATE: Seems like Reddit is capturing the clipboard on each keystroke as well 😕
Seeing the notification come up just as much. pic.twitter.com/nzbElmRG2a
— Don 𝘧𝘳𝘰𝘮 urspace.io (@DonCubed) July 2, 2020
Es ist sogar ein Clip zu sehen, in dem LinkedIn im Hintergrund läuft, während Nachrichten bei einer Notizapp geschrieben werden.
Here is LinkedIn copying and pasting from my notes app “Bear” pic.twitter.com/CsjocmjUm4
— Don 𝘧𝘳𝘰𝘮 urspace.io (@DonCubed) July 2, 2020
Das neue Betriebssystem iOS 14 hat erstmals eine technische Lösung gefunden, um dieses Problem sichtbar zu machen.
In einer Stellungnahme, die ebenfalls auf Twitter erfolgte, meldete sich der Vice President Engineering & Consumer Products von LinkedIn zu Wort.
Hi @DonCubed. Appreciate you raising this. We've traced this to a code path that only does an equality check between the clipboard contents and the currently typed content in a text box. We don't store or transmit the clipboard contents.
— Erran Berger (@eberger45) July 3, 2020
Ähnlich wie zuvor schon bei TikTok wurde also beschwichtigt. Im Code soll es eine Funktion geben, die einen Equality Check zwischen den Inhalten im Zwischenspeicher und dem getippten Inhalt machen soll. Das klingt völlig überflüssig und daher wie eine Ausrede. Da es keinen unabhängigen Audit des Codes gibt, ist die Aussage aber nicht überprüfbar.
Es ist sehr gut möglich, dass Apps Ähnliches auch unter Android ausführen. Android 10 führt erstmals das Problem unter Datenschutzänderungen auf. Unter dem Abschnitt “Limited access to clipboard data” heißt es da in etwa, dass Apps, die im Hintergrund laufen, nicht auf den Zwischenspeicher zugreifen können. Ausnahme sei hierbei der Standard Input Method Editor, der genau dies ausführen muss, um zu funktionieren. Ansonsten kann eine App nur im Vordergrund auf den Zwischenspeicher zugreifen. Es ist also mehr als wahrscheinlich, dass Android-User genauso von dem Problem betroffen sind.
Es wäre daher wünschenswert, dass eine ähnliche Funktion bald auch für Android erscheint. Eine Ankündigung für ein entsprechendes Update ist von Android bisher allerdings noch nicht gekommen.
