Achillesferse Zwischenablage: Spionieren iOS-Apps wie TikTok oder WSJ Nutzer aus?

Hacker (Symbolbild), Bild: CC0

Die einfache Nachricht lautet, dass dutzende populärer, viel genutzter Apps „einfach so“ die Zwischenablage in iOS auslesen und damit möglicherweise sensible Nutzerdaten ausspähen. Denn es soll vorkommen, das Nutzer beispielsweise Passwörter in die Zwischenablage kopieren. Zu den betroffenen Apps zählen „natürlich“ TikTok, aber auch diejenige des Wall Street Journal.

Apps greifen ungefragt auf die Zwischenablage des Nutzers zu

Die Entwickler Talal Haj Bakry und Tommy Mysk entdeckten, dass dutzende iOS-App „ungefragt“ Daten aus der Zwischenablage der Nutzer „auslesen“.

Die Entwickler nutzen Apples Xcode, um zu dokumentieren, wie betroffene Apps „einen Blick“ auf die Zwischenablage werfen. Sie präsentieren ein negatives und ein positives Beispiel, also eine App, die die Zwischenablage ausliest und eine, die es nicht tut.

Achillesferse Zwischenablage

Auf die Zwischenablage greifen Apps grundsätzlich erst einmal nicht zu. Sie haben aber die Möglichkeit dazu. Nun sollte es normalerweise so funktionieren, dass ein Nutzer selbst etwas in die Zwischenablage „kopiert“ (oder ausschneidet) und dann über den Einfügen-Befehl die Inhalte in eine (andere) App einfügt.

Wie es scheint, gibt es jedoch Apps, die ohne Erlaubnis einfach neugierig sind und trotzdem auf die Zwischenablage zugreifen, und zwar jedesmal, wenn man sie öffnet. Das gilt für Apps des „chinesischen“ Netzwerks TikTok. Das gilt aber offenbar auch für Apps wie diejenige des „amerikanischen“ Wall Street Journal. Wir nennen absichtlich diese beiden Beispiele, da sie im Koordinatenssystem der Corona-infizierten Medienberichterstattung so etwas wie Gut und Böse repräsentieren. Letztlich gibt es aber noch viele weitere Apps, die leider neugieriger agieren als sie dürften.

Auch Macs betroffen?

Zunächst: Die Analyse von Bakr und Mysk umfasst lediglich iOS-Apps. Wir wissen nicht, ob auch Mac-Apps ähnlich neugierig sind.

Aber: Auch iOS-Apps können dank Apples „universeller Zwischenablage“ auf Daten zugreifen, die am Mac kopiert wurden, um sie mit dem iPhone oder iPad zu teilen.

Bis iOS 13.3 benötigen Apps keine Autorisierung, um auf das „Pasteboard“ zugreifen zu dürfen. Grundsätzlich soll diese geteilte Zwischenablage die Übertragung von Daten auf unterschiedlichen Plattformen beschleunigen.

Allerdings ist Apple nun gefragt, den Zugriff so einzuschränken, dass er lediglich auf Anweisung des Nutzers geschieht, und nicht ungefragt.

Welche Apps spionieren?

Folgende Apps machten die beiden Entwickler aus, die die Zwischenablage abfragen:

  • 10% Happier: Meditation,
  • 5-0 Radio Police Scanner,
  • 8 Ball Pool,
  • ABC News,
  • Accuweather,
  • Al Jazeera English,
  • AliExpress Shopping App,
  • AMAZE!!!,
  • Bed Bath & Beyond,
  • Bejeweled,
  • Block Puzzle,
  • CBC News,
  • Classic Bejeweled (HD),
  • CNBC,
  • DAZN,
  • FlipTheGun,
  • Fox News,
  • Fruit Ninja,
  • Golfmasters,
  • Hotels.com,
  • Hotel Tonight,
  • Letter Soup,
  • Love Nikki,
  • My Emma,
  • News Break,
  • New York Times,
  • NPR,
  • ntv Nachrichten,
  • Overstock,
  • Pigment – Adult Coloring Book,
  • Plants vs. Zombies Heroes,
  • Pooking – Billiards City,
  • PUBG Mobile,
  • Recolor Coloring Book to Color,
  • Reuters,
  • Russia Today,
  • Sky Ticket,
  • Stern Nachrichten,
  • The Economist,
  • The Huffington Post,
  • The Wall Street Journal,
  • The Weather Network,
  • TikTok,
  • Tok,
  • Tomb of the Mask,
  • Tomb of the Mask: Color,
  • Total Party Kill,
  • ToTalk,
  • Truecaller,
  • Viber,
  • Vice News,
  • Watermarbling,
  • Weibo,
  • Zoosk.

Die Liste der Apps ist sehr vielfältig. Sie umfasst beispielsweise auch Streamingdienste wie DAZN oder Sky Ticket. Vor diesem Hintergrund würden wir vermuten, dass dieser Zugriff fast automatisch geschieht, je nachdem, wie man eine App programmiert.

Dennoch folgen wir der Weisung von Mysk und Bakry: Apple muss handeln.

Mehr über Alexander Trust:

Bekam seinen ersten PC mit sieben Jahren, einen XT mit 4 MHz und Monochrom-Monitor. Registrierte die erste Domain im Jahr 1998, vorher auch in Mailboxen aktiv, bei AOL und Compuserve. Studierte Computer Science (Anwendungsentwicklung) in Wuppertal und Informatik und Soziologie, Linguistik und Literatur in Aachen. Veröffentlichte bereits einen Roman.

Metadaten
  • Geschrieben am: 16. März 2020
  • Zuletzt aktualisiert am: 16. März 2020
  • Wörter: 451
  • Zeichen: 3925
  • Lesezeit: 1 Minuten 57 Sekunden