TikTok等人気iOSアプリがクリップボードに無断アクセスしていた

[公開日:2020/03/16]
筆者: 梅田店

こんにちは。

iPhone(アイフォン)修理のダイワンテレコム大阪・梅田駅店です。

 

 

Photo:Mysk

App Storeでダウンロード数の多い人気iOSアプリの一部において、ユーザーの許可を得ることなくクリックボードに保存された情報を読み取っていたことが、iOSデベロッパーの調査により判明しました。

クリップボードの情報を読み取っていたアプリはTikTokアプリなど、人気のあるアプリを含んでいます。

iOSにおける「クリップボード(ペーストボード)」とは、テキストなどを一時的に保存できる領域のことです。文章を「コピー」して、「ペースト」を行う過程で、テキストが保存されるのがこの「クリップボード」になります。

 

専門家の調査により判明

調査を行ったのはiOSデベロッパーのTalal Haj Bakry氏とTommy Mysk氏の両名。

両名は、許可なくクリップボード(ペーストボード)の情報を読み取っていたアプリの調査結果について自身らのブログにまとめています。

ブログ中において、クリップボードに残されたテキストデータは買い物リストのような単純なこともあれば、パスワードやアカウントID、口座番号のような機密性の高い個人情報である場合もある。と述べています。

 

iOS・iPadOSで動作するアプリは、クリップボードに無制限にアクセスできるというセキュリティ上のリスクについては以前より両名が指摘していました。

両名は一般的なApple開発ツールを用いてApp Storeでダウンロード数の多い人気アプリの動作を観察したところ、多くのアプリが頻繁にクリップボードにアクセスし、ユーザーに許可を取ることなくテキストのデータを読み取っていることを突き止めました。

また、ブログ中ではどのように人気アプリの動作を確認したのか、その方法まで記述されています。

 

いずれのアプリもテキストデータ以外にはアクセスせず

調査の結果、アプリの起動時にクリップボードのコンテンツにアクセスするアプリは非常に多く、このような動作も疑わしいとしつつも、「頻繁に」クリップボードにアクセスするアプリのみを両名はリストアップしています。

また、クリップボードにアクセスすることが確認されたすべてのアプリにおいて、テキストデータ以外のデータ(画像ファイルやPDFファイルなど)についてはアクセスを行わないことも分かっています。

 

 

アプリの名前 — BundleID

[ニュース] カテゴリ

ABC News — com.abcnews.ABCNews

Al Jazeera English — ajenglishiphone

CBC News — ca.cbc.CBCNews

CBS News — com.H443NM7F8H.CBSNews

CNBC — com.nbcuni.cnbc.cnbcrtipad

Fox News — com.foxnews.foxnews

News Break — com.particlenews.newsbreak

New York Times — com.nytimes.NYTimes

NPR — org.npr.nprnews

ntv Nachrichten — de.n-tv.n-tvmobil

Reuters — com.thomsonreuters.Reuters

Russia Today — com.rt.RTNewsEnglish

Stern Nachrichten — de.grunerundjahr.sternneu

The Economist — com.economist.lamarr

The Huffington Post — com.huffingtonpost.HuffingtonPost

The Wall Street Journal — com.dowjones.WSJ.ipad

Vice News — com.vice.news.VICE-News

 

[ゲーム]カテゴリ

8 Ball Pool™ — com.miniclip.8ballpoolmult

AMAZE!!! — com.amaze.game

Bejeweled — com.ea.ios.bejeweledskies

Block Puzzle — Game.BlockPuzzle

Classic Bejeweled — com.popcap.ios.Bej3

Classic Bejeweled HD — com.popcap.ios.Bej3HD

FlipTheGun — com.playgendary.flipgun

Fruit Ninja — com.halfbrick.FruitNinjaLite

Golfmasters — com.playgendary.sportmasterstwo

Letter Soup — com.candywriter.apollo7

Love Nikki — com.elex.nikki

My Emma — com.crazylabs.myemma

Plants vs. Zombies™ Heroes — com.ea.ios.pvzheroes 

Pooking – Billiards City — com.pool.club.billiards.city

PUBG Mobile — com.tencent.ig

Tomb of the Mask — com.happymagenta.fromcore

Tomb of the Mask: Color — com.happymagenta.totm2

Total Party Kill — com.adventureislands.totalpartykill

Watermarbling — com.hydro.dipping

 

[SNS]カテゴリ

TikTok — com.zhiliaoapp.musically

ToTalk — totalk.gofeiyu.com

Tok — com.SimpleDate.Tok

Truecaller — com.truesoftware.TrueCallerOther

Viber — com.viber

Weibo — com.sina.weibo

Zoosk — com.zoosk.Zoosk

 

[その他]

10% Happier: Meditation —com.changecollective.tenpercenthappier

5-0 Radio Police Scanner — com.smartestapple.50radiofree

Accuweather — com.yourcompany.TestWithCustomTabs

AliExpress Shopping App — com.alibaba.iAliexpress

Bed Bath & Beyond — com.digby.bedbathbeyond

Dazn — com.dazn.theApp

Hotels.com — com.hotels.HotelsNearMe

Hotel Tonight — com.hoteltonight.prod

Overstock — com.overstock.app

Pigment – Adult Coloring Book — com.pixite.pigment

Recolor Coloring Book to Color — com.sumoing.ReColor

Sky Ticket — de.sky.skyonline

The Weather Network — com.theweathernetwork.weathereyeiphone

 

iOS・iPadOSではiOS13.3以降、クリップボードへのアクセスにはアプリの許可が必要なくなっています。

これらリストアップされたアプリが読み込んだクリップボードのテキストをどのように使用しているかは定かではありませんが、クリップボードを悪用されないためにもAppleが対策を行う必要がありそうです。

 

source:Mysk

この記事を書いた店舗情報

梅田店

530-0001
大阪府大阪市北区梅田1丁目3−1地下1階 大阪駅前第1ビル

06-6131-9797

人気ブログ

新着ブログ

機種一覧

店舗一覧