Apple'i nutiseadmetel on üle 50 äpi, mis püüavad su tekste salaja lugeda
Kõik algas skandaalist veebis ja meedias, mis tekkis, kui küberturva-spetsid Talal Haj Bakry ja Tommy Mysk teatasid 10. märtsil, et populaarne videojagamis-äpp TikTok loeb hoolega tekste, mida Apple'i nutiseadme kasutaja on valmis tippinud ja kuhugi edasi saatmiseks kopeerinud.
Sellised tekstid asuvad clipboard'is (ee lõikelaud) ehk faili või puhvermälu piirkonnas, mis on mõeldud andmete ajutiseks säilitamiseks kuni nende kopeerimiseni kuhugi mujale.
Asja teeb halvemaks, et kui Apple'i nutiseadmed jagavad Apple ID teel sama kasutajat ja on üksteisest vaid paari-kolme meetri kaugusel, siis nad jagavad clipboard'i – ühes asuvat teksti saab "kleepida" ehk liigutada teis(t)ele. Kui tekst sisaldab tundlikku infot alates e-posti aadressidest kuni paroolide või Bitcoini aadressideni, siis on see suur oht meie privaatsusele ja isegi panga- või kübervaluuta-kontodele.
TikTokil on praegu hinnanguliselt 800 miljonit kasutajat, nii et selle kurjami tööpõld on lai, kes püüaks äpi clipboard'i-andmetele ligi pääseda.
Uudisele lisas veelgi pikantsust tõik, et TikToki taga on Hiina firma Bytedance. Sealsete tehnoloogiliste lahenduste puhul on viimasel ajal levinud kartus, et äkki need luuravad lääne inimeste järel (edastavad kogutud andmeid oma valitsusele).
TikToki esindajad lubasid vahele jäädes, et lõpetavad "lõikelaudadel nuhkimise" mõne nädala jooksul ja see oli mõeldud abivahendiks spämmimise ennetamisel.
22. juunil ehk enam kui kolm kuud hiljem allalaaditavaks muutunud iOS 14 beeta aga paljastas, et nad valetasid ja nuhkimine jätkub. (iOS 14 turvameetmete hulgas on nimelt uue asjana kontrollimine, et äpid ilma loata clipboard'i ei loeks.)
Kuigi skandaali keskele sattus just TikTok, tõid turvaspetsid Bakry ja Mysk oma märtsiuurimuses välja üle 50 iOS-i rakenduse, mis täpselt samamoodi kasutajate lõikelaudadelt infot loevad.
Nende hulgas on uudiseäppe (Fox News, Reuters, The Wall Street Journal), videomänge (Bejeweled, Fruit Ninja), suhtlusäppe (Viber), sotsiaalmeedia-äppe (Weibo), kuid ka täitsa ootamatuid patustajaid nagu ilmateateid pakkuv AccuWeather.
Moodsate nutiseadmete tosinkonna aasta pikkuses ajaloos on alatasa olnud probleeme rakendustega, mis kipuvad kasutaja tegevuste kohta andmeid kogudes endale rohkem õigusi võtma, kui neile lubatud – või siis äpp isegi ei küsi luba. Lõikelaua-skandaalis pole selles mõttes midagi uut.
Privaatsust ja küberturvalisust rikkuv on selline andmete lugemine aga küll ja kohe väga. Nagu võtab teema kokku härra Mysk: "Need äpid loevad clipboard'e, aga selleks pole head põhjust. Kui äpp ei paku teksti sisestamiseks eraldi välja, siis pole sellel põhjust ka lõikelauale asetatud tekste lugeda."
Seni pole kindel, et miks kõik need äpid ikkagi seda tegid ja kellele kogutud andmed edastasid, aga eeldada võib, et keegi teenis tänu sellele rohkem raha (või kaotas vähem raha).
Androidi seadmete puhul, mida on kordades rohkem kui Apple'i omi ja kus iOS 14-ga võrreldavat turvameedet pole, on salajane lõikelaua-tekstide lugemine tõenäoliselt isegi suurem probleem.
Kui su seadmes jookseb näiteks vanem opsüsteem kui Android 10 (mai seisuga oli 10 turuosa vaid 18,63%), siis tohivad clipboard'i sisuga tutvuda isegi taustal jooksvad äpid ehk sellised, mida hetkel ei kasuta. iOS-i rakendused tohivad seda ainult aktiivsena ehk siis, kui neid parajasti kasutatakse.