パスワードを忘れた? アカウント作成

TikTokが他のアプリで入力中のテキストを読み取る様子が動画化される」記事へのコメント

  • 誤報レベルだと思うのですが,正しくは「クリップボードの内容をリアルタイムで読み取っている」です.
    クリップボードにコピーしないかぎりテキストを別アプリが読み取ることはできません.

    youtubeの動画のタイトルも「iOS14 Catches Apps Spying on Your Clipboard」です
    意訳すると「クリップボードをのぞき見しているアプリをiOS14は検出できる」といった内容です.

    ただ,デモ動画では入力したテキストを逐次クリップボードにコピーするアプリを使っています.
    この点を見逃した多くの人が
    「TikTokが(全ての)他のアプリで入力中のテキストを読み取っている」と勘違いしてしまったようです.

    なおクリップボードの内容が他のアプリからも読めるのは「仕様」です.
    コピー&ペーストはこの機能を使って実装されていてます.
    ですから WindowsでもiOSでもmacOSでもLinuxなどのX window system もほぼ全部同じ仕様で
    セキュリティホールではありません.

    昔から「パスワードをコピペするのは危険」と言われているのはこのためです
    仕様上防ぎようがないので,ユーザのリテラシーに任せるしかないのです.

    ここに返信
    • 以前「コピーしたテキストをMMLとして鳴らすアプリ」とか言うのがWindowsであって、
      結構面白かったよなぁ

    • by Anonymous Coward on 2020年06月30日 12時55分 (#3842863)

      クリップボードを暗号化して、ユーザーが明示的にペーストの動作をした時だけ
      暗号鍵がアプリに渡されるという実装はできないものでしょうか。

      というかそもそも、ユーザーが明示的にペーストの動作をした時だけ、
      そのアプリに対してクリップボードの内容へのアクセス権が与えられる、
      でもいいんですけど。

      ペーストの動作を明確に規定しないといけないという問題はありますけど

      • by Anonymous Coward

        「アプリがOSのAPIを叩いた時だけ権限チェックが通れば内容が返される」という実装は可能
        暗号とは特に関係なく可能

      • by Anonymous Coward

        最近のブラウザは、そういう実装(javascriptに対して)になってるな。
        一般的なOS上では、アプリ側のUI変更を強制することになるから難しいかもなぁ。

      • by Anonymous Coward

        暗号化なんてメンドイことせずに、クリップボードAPIへのアクセス権限を管理するほうが楽だろ。

        標準的な入力用UI要素への貼付けや入力はIMEとの連携込みでOS側が握り込めばいい。
        非標準でのペーストはペーストメニューの表示要求APIを叩かせて、
        ユーザがペースト押したらクリップボードがほかアプリにより上書きされるまで読み取り許可。
        ユーザの能動的なペースト操作無しに読みたきゃ権限要求。

        • by Anonymous Coward

          スマホってファイルはコピペできないんだっけ?

    • by Anonymous Coward on 2020年06月30日 12時57分 (#3842866)

      なぜtiktokがクリップボードから随時読み取ってるわけ?というところが問題なんだよ。そこはどう思うの?
      クリップボードが全アプリからアクセスできるのは仕様だし当然だし、誰もそこは問題にしてないでしょう。

      #ちなみにinstagramはちょっとした操作ミスで入力テキストが失われてイライラする。自動でクリップボードに保存してくれるアプリは非常に便利そうだと思った

      • バックグラウンドでこんな高頻度に覗き見する必要ないよね。
        アプリがフォアグラウンドになった時だけでほぼ問題ないと思うのだけど。
        バッテリー的な意味でも良くない実装よね。

      • by Anonymous Coward

        そう思う。

        フロントに出ていないアプリがユーザーの明示的な操作もないのにチラチラとクリップボードを伺っている様は非常に気味が悪い。
        APIの仕様上可能な事は何をしても良いというのは、法に反しなければ何をしてもいいと言ってるのと変わらない。

      • by Anonymous Coward

        そこはもちろん問題なのだが、他のアプリのキーストロークを読むのは完全一発アウトな事案なのに対し、クリップボードを頻繁に読むというのは通常のアプリの挙動でもあり得ることだから、問題の大きさが全然違う。

        で、その問題に対してTikTok側は以下の記事内で「スパム的行動によく見られる反復動作を検知する中でクリップボードを見ていた」と釈明している。信じるか信じないかはあなた次第。
        https://arstechnica.com/gadgets/2020/06/tiktok-and-53-other-ios-apps-s... [arstechnica.com]

        • by Anonymous Coward

          なぜもっと危険性の高い話をもちだして矮小化するのか

      • by Anonymous Coward

        一部でも入れたらその文字に適応した例を表示するあのパターンのUIだろ。

        • by Anonymous Coward

          それはクリップボード無関係じゃねえか。
          まったく違う話を始めないでくれ

      • by Anonymous Coward

        違う違う。今回は、クリップボードが全アプリからアクセスできるのは仕様だし当然であるけど、そのことが問題とされているんだよ。
        ニュースアプリとか、ゲームとか、動画アプリとか、文字入力がほとんどなくて、明らかにクリップボードなんか使わないようなアプリが、フォアグラウンドに来たときに必ずクリップボードを読みに行ってる。
        それはなんだ?クリップボードに残った文字を読み取って、収集してるのではないのか?という話。

        Tiktokが炎上したのは、「すぐにやめます」って言って、全然やめてないから。

      • by Anonymous Coward

        無理やり理由を考えると、入力中のテキストと、クリップボードのテキストを比較して、一致したら補完候補として提示するとか、そういうことなのかな…必要とは思えないけど…

      • by Anonymous Coward

        >クリップボードが全アプリからアクセスできるのは仕様だし当然だし

        そこから疑問を持たないと。
        クリップボードの参照に権限が必要で、ユーザーがインストール前に確認できるOSが当然でも何もおかしくはない。

    • by Anonymous Coward

      Tron系OSはどうなんだろ?

    • by Anonymous Coward

      <WindowsでもiOSでもmacOSでもLinuxなどのX window system もほぼ全部同じ仕様
      Tron系OSの仕様はどうなんでしょうか?

クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人

処理中...