TikTokが他のアプリで入力中のテキストを読み取る様子が動画化される 42
ストーリー by nagazou
一度疑われると 部門より
一度疑われると 部門より
あるAnonymous Coward 曰く、
TikTokが他のアプリで入力中のテキストを、ほぼリアルタイムで読み取っている様子が動画化された。6月23日に発表された「iOS 14」のベータ版の機能により、その様子が可視化されたという。iOS 14では入力したデータがほかのアプリに読み取られるたびに、警告メッセージを表示する機能が搭載されている。TikTokをインストールした状態だと、テキストを入力時に1~3回のストロークごとにTikTokが読み取っていることが警告に出ている。
この挙動についてはiOS 14の発表前から指摘されており、Appleも「問題ない動作である」とコメントしているものの、これを受けてTikTokは仕様を変更したと発表している。
ただ、中国資本が入っているため、何かと当局に目の付けられやすいTikTok。TikTokが実際にテキストを読み取っている様子が動画というわかりやすい形で可視化されたので、ネット上では大きな反響があった模様(INTERNET Watch、GIGAZINE、記事の元となったツイート、YouTube)。
入力中のテキストは読み取れない (スコア:5, 参考になる)
誤報レベルだと思うのですが,正しくは「クリップボードの内容をリアルタイムで読み取っている」です.
クリップボードにコピーしないかぎりテキストを別アプリが読み取ることはできません.
youtubeの動画のタイトルも「iOS14 Catches Apps Spying on Your Clipboard」です
意訳すると「クリップボードをのぞき見しているアプリをiOS14は検出できる」といった内容です.
ただ,デモ動画では入力したテキストを逐次クリップボードにコピーするアプリを使っています.
この点を見逃した多くの人が
「TikTokが(全ての)他のアプリで入力中のテキストを読み取っている」と勘違いしてしまったようです.
なおクリップボードの内容が他のアプリからも読めるのは「仕様」です.
コピー&ペーストはこの機能を使って実装されていてます.
ですから WindowsでもiOSでもmacOSでもLinuxなどのX window system もほぼ全部同じ仕様で
セキュリティホールではありません.
昔から「パスワードをコピペするのは危険」と言われているのはこのためです
仕様上防ぎようがないので,ユーザのリテラシーに任せるしかないのです.
Re:入力中のテキストは読み取れない (スコア:2)
以前「コピーしたテキストをMMLとして鳴らすアプリ」とか言うのがWindowsであって、
結構面白かったよなぁ
Re:入力中のテキストは読み取れない (スコア:1)
クリップボードを暗号化して、ユーザーが明示的にペーストの動作をした時だけ
暗号鍵がアプリに渡されるという実装はできないものでしょうか。
というかそもそも、ユーザーが明示的にペーストの動作をした時だけ、
そのアプリに対してクリップボードの内容へのアクセス権が与えられる、
でもいいんですけど。
ペーストの動作を明確に規定しないといけないという問題はありますけど
Re: (スコア:0)
「アプリがOSのAPIを叩いた時だけ権限チェックが通れば内容が返される」という実装は可能
暗号とは特に関係なく可能
Re: (スコア:0)
最近のブラウザは、そういう実装(javascriptに対して)になってるな。
一般的なOS上では、アプリ側のUI変更を強制することになるから難しいかもなぁ。
Re: (スコア:0)
暗号化なんてメンドイことせずに、クリップボードAPIへのアクセス権限を管理するほうが楽だろ。
標準的な入力用UI要素への貼付けや入力はIMEとの連携込みでOS側が握り込めばいい。
非標準でのペーストはペーストメニューの表示要求APIを叩かせて、
ユーザがペースト押したらクリップボードがほかアプリにより上書きされるまで読み取り許可。
ユーザの能動的なペースト操作無しに読みたきゃ権限要求。
Re: (スコア:0)
スマホってファイルはコピペできないんだっけ?
Re:入力中のテキストは読み取れない (スコア:1)
なぜtiktokがクリップボードから随時読み取ってるわけ?というところが問題なんだよ。そこはどう思うの?
クリップボードが全アプリからアクセスできるのは仕様だし当然だし、誰もそこは問題にしてないでしょう。
#ちなみにinstagramはちょっとした操作ミスで入力テキストが失われてイライラする。自動でクリップボードに保存してくれるアプリは非常に便利そうだと思った
Re:入力中のテキストは読み取れない (スコア:1)
バックグラウンドでこんな高頻度に覗き見する必要ないよね。
アプリがフォアグラウンドになった時だけでほぼ問題ないと思うのだけど。
バッテリー的な意味でも良くない実装よね。
Re:入力中のテキストは読み取れない (スコア:1)
Youtube見てもらえばわかるけど、クリップボードにアクセスしているのはTiktokがフォアグランドの時だけだよ
Re:入力中のテキストは読み取れない (スコア:1)
YouTubeでなく、記事の元となったツイート [twitter.com]ですかね。
フォアグラウンドのアプリを勘違いしてました。申し訳ない。
Re: (スコア:0)
バックグラウンドではUIPasteboard.generalにはアクセスできないようにOSで制限してもらいたいな。
こうすれば変態開発者の動きを封じられる。
Re: (スコア:0)
iOSではバックグランド中は仕様的には出来ないようになってます。
でも回避方法があって、ごにょごにょすれば出来るようになります。
つまりわざわざ回避してまでクリップボードへアクセスする悪どさがありますね
Re: (スコア:0)
そう思う。
フロントに出ていないアプリがユーザーの明示的な操作もないのにチラチラとクリップボードを伺っている様は非常に気味が悪い。
APIの仕様上可能な事は何をしても良いというのは、法に反しなければ何をしてもいいと言ってるのと変わらない。
Re: (スコア:0)
そこはもちろん問題なのだが、他のアプリのキーストロークを読むのは完全一発アウトな事案なのに対し、クリップボードを頻繁に読むというのは通常のアプリの挙動でもあり得ることだから、問題の大きさが全然違う。
で、その問題に対してTikTok側は以下の記事内で「スパム的行動によく見られる反復動作を検知する中でクリップボードを見ていた」と釈明している。信じるか信じないかはあなた次第。
https://arstechnica.com/gadgets/2020/06/tiktok-and-53-other-ios-apps-s... [arstechnica.com]
Re: (スコア:0)
なぜもっと危険性の高い話をもちだして矮小化するのか
Re: (スコア:0)
一部でも入れたらその文字に適応した例を表示するあのパターンのUIだろ。
Re: (スコア:0)
それはクリップボード無関係じゃねえか。
まったく違う話を始めないでくれ
Re: (スコア:0)
違う違う。今回は、クリップボードが全アプリからアクセスできるのは仕様だし当然であるけど、そのことが問題とされているんだよ。
ニュースアプリとか、ゲームとか、動画アプリとか、文字入力がほとんどなくて、明らかにクリップボードなんか使わないようなアプリが、フォアグラウンドに来たときに必ずクリップボードを読みに行ってる。
それはなんだ?クリップボードに残った文字を読み取って、収集してるのではないのか?という話。
Tiktokが炎上したのは、「すぐにやめます」って言って、全然やめてないから。
Re:入力中のテキストは読み取れない (スコア:1)
広告とかに使われそうね。
Re: (スコア:0)
無理やり理由を考えると、入力中のテキストと、クリップボードのテキストを比較して、一致したら補完候補として提示するとか、そういうことなのかな…必要とは思えないけど…
Re: (スコア:0)
>クリップボードが全アプリからアクセスできるのは仕様だし当然だし
そこから疑問を持たないと。
クリップボードの参照に権限が必要で、ユーザーがインストール前に確認できるOSが当然でも何もおかしくはない。
Re: (スコア:0)
Tron系OSはどうなんだろ?
Re: (スコア:0)
<WindowsでもiOSでもmacOSでもLinuxなどのX window system もほぼ全部同じ仕様
Tron系OSの仕様はどうなんでしょうか?
クリップボードを逐一読み取る (スコア:1)
Internet watch の記事に訂正が入りました。
元ツイートは初めからクリップボードについて言及されています
それ訂正前の内容 (スコア:1)
訂正後
iOS 14でバッチリ可視化、TikTokがテキスト入力中に、クリップボードを逐一読み取る様子【やじうまWatch】 - INTERNET Watch https://internet.watch.impress.co.jp/docs/yajiuma/1261591.html [impress.co.jp]
内容は省略するけど、tiktok内で入力処理が動くたびにクリップボードを確認に行くカンジ
Re:それ訂正前の内容 (スコア:1)
ネットで誤報が出ても、誰も修正後の情報にアクセスしないなんて何時もの事じゃないかw
InstagramとTikTokが区別できないメディア (スコア:1)
ソースとなっているTweetの動画を見たら、操作してるアプリがInstagramでなくてTikTokであることはすぐに確認できる。
今回の件で一番面白いのって、INTERNET WatchやらGIGAZINEやらは
InstagramとTikTokの区別もできてないような人間によって執筆・運営されていると判明したことじゃないかな。
Re:InstagramとTikTokが区別できないメディア (スコア:1)
「tks24」という適当な名前の記者が作った質の悪い記事に信憑性なんかゼロだしな
Appleも「問題ない動作である」とコメントしている (スコア:0)
うん。それなら問題ないな。
なんで騒ぐのか理解できない。
Re: (スコア:0)
キーロガーは別に違法でもなんでもないからな。
Re: (スコア:0)
パスワードを……
コピペならクリップボード監視
手入力ならキーロガー
スクリーンキーボード入力ならショルダーハッキング
一体どうすれば orz
例えプラットフォーム運営から許されていようと (スコア:0)
不要かつ不審な挙動であることには変わりない。
iOS14は楽しみだ。
Re:例えプラットフォーム運営から許されていようと (スコア:1)
ふつう、自販機があったら返金口をあさってみて、ついでに下覗くでしょう。
だって、違法じゃないもの。
まあ、そんなアプリだね。
Re: (スコア:0)
そこにお金があって、貰ってしまったら違法だけど?
Re: (スコア:0)
三遊亭小遊三師匠こんなところでなにやってるんですか
Re: (スコア:0)
不審というよりは素人臭いプログラムなんだなと思った。
アイコンをドラッグしながら上を通ると前面に出てくるAdobe Readerと同程度に。
コピペ対策 (スコア:0)
運営が個人情報を盗む以外に何の使い道があるんだ!!!!という疑問がある人が多いと思う
一応、正当な理由としては「コピペ荒らしは手入力しないので、クリップボードを監視して
荒らし文が入っていれば分かる」という理由が伝わってきている
それを外部に送ってるんじゃないのか? と疑うのは自由だが決めつける前に調査は必要
Re: (スコア:0)
言い訳としては苦しいのでは?
ペーストされた時に確認すれば良いだけで、リアルタイムにクリップボードを監視する理由にならないのでは?
書き込みボタンを押した時に、クリップボード内と書き込み内容を比較するだけでも良い。
どうしてリアルタイムにクリップボードを監視する必要があったのか、実際にどういうデータを送っていたのかは説明がさらに必要だと思いますね
Re: (スコア:0)
データがペーストされてんのにクリップボードと突き合わせるなんて、そんな猟奇的な
TikTokを擁護したいわけじゃないけど、クリップボードなら文字列のログイン情報とかの他に画像のデータ置き場とかにもなる。
今時のツールだとそういうのは少しでも早くロードしてサムネイル出したいというのはあると思う。
Re: (スコア:0)
tiktokが嵐検出アプリなら公式の説明も納得なんだけどね。そうじゃないからw
クリップボード内容の外部送信の有無はたいした判断材料じゃない。
tiktok自身が嵐の対策をしたいなら、何度も同じ文章をtiktokに入力されたら嵐と判断すればいいだけ。わざわざバックグラウンドでほかのアプリ使ってるときまで監視しなくていいし、クリップボードを使わなくてもいい。
#クリップボードの内容そのものを送信していなくても、ユーザーが嵐のような行動をしてるというフラグを送信するだけなんてケースもありえる。信頼性スコア算出用のデータとして使えるしね
日本はLINEやZOOMのほうが深刻だろ (スコア:0)
どんなアプリにしろ、マイクの利用権とネットワーク利用権あれば社内や家庭内の会話とかまで聞かれてそうだからな