Apps lezen je iPhone-klembord
iOS-ontwikkelaars Tommy Mysk en Talal Haj Bakry gingen op onderzoek uit en ontdekten zo’n 50 apps die de inhoud van je klembord lezen zodra je de app opent. Het klembord bevat op dat moment de laatst gekopieerde tekst en dat kan een wachtwoord of creditcardnummer zijn, maar ook andere privacygevoelige tekst. Als iemand een foto kopieert kan daaruit ook de locatie worden afgeleid.
Daarmee is niet bewezen dat de 50 apps ook iets kwaadaardigs doen met de info. Het zet echter wel de deur open voor misbruik. Apps op iOS en iPadOS krijgen toegang tot gekopieerde data als je de app opent. Meestal is dat gewenst gedrag. Kopieer je namelijk een wachtwoord uit 1Password en blader je vervolgens naar een andere app, dan is het meestal de bedoeling om het wachtwoord meteen daarna te plakken. Volgens Apple is het gewenst gedrag. Maar wat als er nog iets in je klembord staat van een vorige knip- of kopieeractie?
In een blogpost leggen Mysk en Bakry uit wat ze hebben ontdekt. Het gaat om apps zoals Accuweather, Truecaller, Overstock en het al eerder genoemde TikTok. Ook staan er enkele nieuwsapps in de lijst. De ontwikkelaars gebruikten Xcode om het gedrag van apps te analyseren. Ze publiceerden bovendien een proof-of-concept video om te laten zien hoe het werkt. De ontwikkelaars keken alleen naar gekopieerde tekst en niet naar foto’s.
Eerder doken Mysk en Bakry ook al in het probleem. In februari legden ze hun resultaten neer bij Apple, maar kregen echter te horen dat er geen probleem was. Alleen apps die op de voorgrond actief zijn kunnen namelijk het klembord (clipboard) lezen. Het duo maakte vervolgens een widget om te bewijzen dat apps in de Vandaag-weergave ook de inhoud van het klembord kunnen uitlezen. Op de Mac zou het ook werken.
De ontwikkelaars denken dat het misschien te maken heeft met een verouderde library. Ontwikkelaars zijn misschien niet eens op de hoogte dat hun app het klembord leest. Maar Apple kan er natuurlijk wel iets aan doen.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Het laatste nieuws over Apple van iCulture
- Meta brengt losstaande app voor Meta AI uit (maar wij kunnen er nog niet zo veel mee) (30-04)
- Bellen via de browser: 'Webversie WhatsApp krijgt optie voor (video)bellen' (29-04)
- WhatsApp gaat spraakberichten vernieuwen: dit verandert er (28-04)
- WhatsApp vanaf nu met extra beveiligde chats: zo krijg je meer privacy (23-04)
- Betalen om je account te delen? Ook bij HBO Max zul je eraan moeten geloven (en zoveel betaal je in de VS) (23-04)
Ook interessant
Instagram krijgt concurrentie: TikTok Photos als nieuwe verslavende foto-app
TikTok’s algoritme binnenkort uit te schakelen voor Europese gebruikers
Shazam kan nu liedjes van TikTok, YouTube en Instagram herkennen
Spotify geeft startscherm een make-over, nu ook met muziekpreviews
Je verwacht het niet: Instagram en Facebook kunnen al je webactiviteiten volgen in eigen browser
‘Bijna een derde van App Store-apps is verouderd’
Strava app doet dat ook, weet nog steeds niet waarom
Gelukkig gaat een Apple device het veiligst met je privacy gevoelige info om 🤪🤪😢
Ook de app van bunq doet dat. Die herkent het als ik een IBAN heb gekopieerd en maakt de suggestie of ik die wil gebruiken voor een betaling.
Je kunt ook een Android toestel nemen. Dan weet je zeker dat je privacy gewaarborgd is🤭
Vandaag toevallig voor de grap tik tok geïnstalleerd. Snel er af weer dus.. Niet dat ik bang bent want dan zou ik beter geen smartphone moeten hebben maar puur uit principe. Ik weet dat ook vele andere apps data of wat dan ook pakken van je..
Als jij Facebook, Instagram, Whatsapp, Snapchat, TikTok en Messenger op je telefoon zet, dan denk je toch niet dat je iPhone je privacy beschermt of wel?
Dat is alsof je knalbezopen, zonder gordel met je hoofd uit het raampje gaat rijden om dan in het ziekenhuis boos te worden omdat Volvo je vertelde dat het de veiligste auto ter wereld is. 🤷🏼♂️
@Kaas: Interessante vergelijking.
Alleen de relevantie met dit artikel zou dan zijn dat Volvo je laatste locatie steeds aan derden doorgeeft, omdat er misschien iets nuttigs mee gedaan kan worden.
Zou jij dat dan willen?
Ik denk dat het gewoon gewest gedrag is. Er zijn genoeg apps die herkennen dat bepaalde inhoud voor hun app bedoeld is. Hierboven wordt bunq al genoemd die iban herkent, youtube herkent youtube links, mn reddit client herkent reddit links. Door dit te herkennen kunnen ze meteen vragen of je die inhoud wil gebruiken wat de gebruiksvriendelijk ten goede komt. Maar je moet wel opletten dat je geen gevoelige informatie lang op je clipboard laat staan
Hoe doe je dat?
Er wordt gezegd dat het kopieren van een blanco tekstvak de oplossing is. Maar wordt daar alle inhoud van het clipboard mee gewist of wordt de laatste opdracht gewoon toegevoegd aan de lijst zonder alle voorgaande te wissen?