アカウント名:
パスワード:
誤報レベルだと思うのですが,正しくは「クリップボードの内容をリアルタイムで読み取っている」です.クリップボードにコピーしないかぎりテキストを別アプリが読み取ることはできません.
youtubeの動画のタイトルも「iOS14 Catches Apps Spying on Your Clipboard」です意訳すると「クリップボードをのぞき見しているアプリをiOS14は検出できる」といった内容です.
ただ,デモ動画では入力したテキストを逐次クリップボードにコピーするアプリを使っています.この点を見逃した多くの人が「TikTokが(全ての)他のアプリで入力中のテキストを読み取っている」と勘違いしてしまったようです.
なおクリップボードの内容が他のアプリからも読めるのは「仕様」です.コピー&ペーストはこの機能を使って実装されていてます.ですから WindowsでもiOSでもmacOSでもLinuxなどのX window system もほぼ全部同じ仕様でセキュリティホールではありません.
昔から「パスワードをコピペするのは危険」と言われているのはこのためです仕様上防ぎようがないので,ユーザのリテラシーに任せるしかないのです.
以前「コピーしたテキストをMMLとして鳴らすアプリ」とか言うのがWindowsであって、結構面白かったよなぁ
クリップボードを暗号化して、ユーザーが明示的にペーストの動作をした時だけ暗号鍵がアプリに渡されるという実装はできないものでしょうか。
というかそもそも、ユーザーが明示的にペーストの動作をした時だけ、そのアプリに対してクリップボードの内容へのアクセス権が与えられる、でもいいんですけど。
ペーストの動作を明確に規定しないといけないという問題はありますけど
「アプリがOSのAPIを叩いた時だけ権限チェックが通れば内容が返される」という実装は可能暗号とは特に関係なく可能
最近のブラウザは、そういう実装(javascriptに対して)になってるな。一般的なOS上では、アプリ側のUI変更を強制することになるから難しいかもなぁ。
暗号化なんてメンドイことせずに、クリップボードAPIへのアクセス権限を管理するほうが楽だろ。
標準的な入力用UI要素への貼付けや入力はIMEとの連携込みでOS側が握り込めばいい。非標準でのペーストはペーストメニューの表示要求APIを叩かせて、ユーザがペースト押したらクリップボードがほかアプリにより上書きされるまで読み取り許可。ユーザの能動的なペースト操作無しに読みたきゃ権限要求。
スマホってファイルはコピペできないんだっけ?
なぜtiktokがクリップボードから随時読み取ってるわけ?というところが問題なんだよ。そこはどう思うの?クリップボードが全アプリからアクセスできるのは仕様だし当然だし、誰もそこは問題にしてないでしょう。
#ちなみにinstagramはちょっとした操作ミスで入力テキストが失われてイライラする。自動でクリップボードに保存してくれるアプリは非常に便利そうだと思った
バックグラウンドでこんな高頻度に覗き見する必要ないよね。アプリがフォアグラウンドになった時だけでほぼ問題ないと思うのだけど。バッテリー的な意味でも良くない実装よね。
Youtube見てもらえばわかるけど、クリップボードにアクセスしているのはTiktokがフォアグランドの時だけだよ
YouTubeでなく、記事の元となったツイート [twitter.com]ですかね。フォアグラウンドのアプリを勘違いしてました。申し訳ない。
バックグラウンドではUIPasteboard.generalにはアクセスできないようにOSで制限してもらいたいな。こうすれば変態開発者の動きを封じられる。
iOSではバックグランド中は仕様的には出来ないようになってます。でも回避方法があって、ごにょごにょすれば出来るようになります。つまりわざわざ回避してまでクリップボードへアクセスする悪どさがありますね
そう思う。
フロントに出ていないアプリがユーザーの明示的な操作もないのにチラチラとクリップボードを伺っている様は非常に気味が悪い。APIの仕様上可能な事は何をしても良いというのは、法に反しなければ何をしてもいいと言ってるのと変わらない。
そこはもちろん問題なのだが、他のアプリのキーストロークを読むのは完全一発アウトな事案なのに対し、クリップボードを頻繁に読むというのは通常のアプリの挙動でもあり得ることだから、問題の大きさが全然違う。
で、その問題に対してTikTok側は以下の記事内で「スパム的行動によく見られる反復動作を検知する中でクリップボードを見ていた」と釈明している。信じるか信じないかはあなた次第。https://arstechnica.com/gadgets/2020/06/tiktok-and-53-other-ios-apps-s... [arstechnica.com]
なぜもっと危険性の高い話をもちだして矮小化するのか
一部でも入れたらその文字に適応した例を表示するあのパターンのUIだろ。
それはクリップボード無関係じゃねえか。まったく違う話を始めないでくれ
違う違う。今回は、クリップボードが全アプリからアクセスできるのは仕様だし当然であるけど、そのことが問題とされているんだよ。ニュースアプリとか、ゲームとか、動画アプリとか、文字入力がほとんどなくて、明らかにクリップボードなんか使わないようなアプリが、フォアグラウンドに来たときに必ずクリップボードを読みに行ってる。それはなんだ?クリップボードに残った文字を読み取って、収集してるのではないのか?という話。
Tiktokが炎上したのは、「すぐにやめます」って言って、全然やめてないから。
広告とかに使われそうね。
無理やり理由を考えると、入力中のテキストと、クリップボードのテキストを比較して、一致したら補完候補として提示するとか、そういうことなのかな…必要とは思えないけど…
>クリップボードが全アプリからアクセスできるのは仕様だし当然だし
そこから疑問を持たないと。クリップボードの参照に権限が必要で、ユーザーがインストール前に確認できるOSが当然でも何もおかしくはない。
Tron系OSはどうなんだろ?
<WindowsでもiOSでもmacOSでもLinuxなどのX window system もほぼ全部同じ仕様Tron系OSの仕様はどうなんでしょうか?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike
入力中のテキストは読み取れない (スコア:5, 参考になる)
誤報レベルだと思うのですが,正しくは「クリップボードの内容をリアルタイムで読み取っている」です.
クリップボードにコピーしないかぎりテキストを別アプリが読み取ることはできません.
youtubeの動画のタイトルも「iOS14 Catches Apps Spying on Your Clipboard」です
意訳すると「クリップボードをのぞき見しているアプリをiOS14は検出できる」といった内容です.
ただ,デモ動画では入力したテキストを逐次クリップボードにコピーするアプリを使っています.
この点を見逃した多くの人が
「TikTokが(全ての)他のアプリで入力中のテキストを読み取っている」と勘違いしてしまったようです.
なおクリップボードの内容が他のアプリからも読めるのは「仕様」です.
コピー&ペーストはこの機能を使って実装されていてます.
ですから WindowsでもiOSでもmacOSでもLinuxなどのX window system もほぼ全部同じ仕様で
セキュリティホールではありません.
昔から「パスワードをコピペするのは危険」と言われているのはこのためです
仕様上防ぎようがないので,ユーザのリテラシーに任せるしかないのです.
Re:入力中のテキストは読み取れない (スコア:2)
以前「コピーしたテキストをMMLとして鳴らすアプリ」とか言うのがWindowsであって、
結構面白かったよなぁ
Re:入力中のテキストは読み取れない (スコア:1)
クリップボードを暗号化して、ユーザーが明示的にペーストの動作をした時だけ
暗号鍵がアプリに渡されるという実装はできないものでしょうか。
というかそもそも、ユーザーが明示的にペーストの動作をした時だけ、
そのアプリに対してクリップボードの内容へのアクセス権が与えられる、
でもいいんですけど。
ペーストの動作を明確に規定しないといけないという問題はありますけど
Re: (スコア:0)
「アプリがOSのAPIを叩いた時だけ権限チェックが通れば内容が返される」という実装は可能
暗号とは特に関係なく可能
Re: (スコア:0)
最近のブラウザは、そういう実装(javascriptに対して)になってるな。
一般的なOS上では、アプリ側のUI変更を強制することになるから難しいかもなぁ。
Re: (スコア:0)
暗号化なんてメンドイことせずに、クリップボードAPIへのアクセス権限を管理するほうが楽だろ。
標準的な入力用UI要素への貼付けや入力はIMEとの連携込みでOS側が握り込めばいい。
非標準でのペーストはペーストメニューの表示要求APIを叩かせて、
ユーザがペースト押したらクリップボードがほかアプリにより上書きされるまで読み取り許可。
ユーザの能動的なペースト操作無しに読みたきゃ権限要求。
Re: (スコア:0)
スマホってファイルはコピペできないんだっけ?
Re:入力中のテキストは読み取れない (スコア:1)
なぜtiktokがクリップボードから随時読み取ってるわけ?というところが問題なんだよ。そこはどう思うの?
クリップボードが全アプリからアクセスできるのは仕様だし当然だし、誰もそこは問題にしてないでしょう。
#ちなみにinstagramはちょっとした操作ミスで入力テキストが失われてイライラする。自動でクリップボードに保存してくれるアプリは非常に便利そうだと思った
Re:入力中のテキストは読み取れない (スコア:1)
バックグラウンドでこんな高頻度に覗き見する必要ないよね。
アプリがフォアグラウンドになった時だけでほぼ問題ないと思うのだけど。
バッテリー的な意味でも良くない実装よね。
Re:入力中のテキストは読み取れない (スコア:1)
Youtube見てもらえばわかるけど、クリップボードにアクセスしているのはTiktokがフォアグランドの時だけだよ
Re:入力中のテキストは読み取れない (スコア:1)
YouTubeでなく、記事の元となったツイート [twitter.com]ですかね。
フォアグラウンドのアプリを勘違いしてました。申し訳ない。
Re: (スコア:0)
バックグラウンドではUIPasteboard.generalにはアクセスできないようにOSで制限してもらいたいな。
こうすれば変態開発者の動きを封じられる。
Re: (スコア:0)
iOSではバックグランド中は仕様的には出来ないようになってます。
でも回避方法があって、ごにょごにょすれば出来るようになります。
つまりわざわざ回避してまでクリップボードへアクセスする悪どさがありますね
Re: (スコア:0)
そう思う。
フロントに出ていないアプリがユーザーの明示的な操作もないのにチラチラとクリップボードを伺っている様は非常に気味が悪い。
APIの仕様上可能な事は何をしても良いというのは、法に反しなければ何をしてもいいと言ってるのと変わらない。
Re: (スコア:0)
そこはもちろん問題なのだが、他のアプリのキーストロークを読むのは完全一発アウトな事案なのに対し、クリップボードを頻繁に読むというのは通常のアプリの挙動でもあり得ることだから、問題の大きさが全然違う。
で、その問題に対してTikTok側は以下の記事内で「スパム的行動によく見られる反復動作を検知する中でクリップボードを見ていた」と釈明している。信じるか信じないかはあなた次第。
https://arstechnica.com/gadgets/2020/06/tiktok-and-53-other-ios-apps-s... [arstechnica.com]
Re: (スコア:0)
なぜもっと危険性の高い話をもちだして矮小化するのか
Re: (スコア:0)
一部でも入れたらその文字に適応した例を表示するあのパターンのUIだろ。
Re: (スコア:0)
それはクリップボード無関係じゃねえか。
まったく違う話を始めないでくれ
Re: (スコア:0)
違う違う。今回は、クリップボードが全アプリからアクセスできるのは仕様だし当然であるけど、そのことが問題とされているんだよ。
ニュースアプリとか、ゲームとか、動画アプリとか、文字入力がほとんどなくて、明らかにクリップボードなんか使わないようなアプリが、フォアグラウンドに来たときに必ずクリップボードを読みに行ってる。
それはなんだ?クリップボードに残った文字を読み取って、収集してるのではないのか?という話。
Tiktokが炎上したのは、「すぐにやめます」って言って、全然やめてないから。
Re:入力中のテキストは読み取れない (スコア:1)
広告とかに使われそうね。
Re: (スコア:0)
無理やり理由を考えると、入力中のテキストと、クリップボードのテキストを比較して、一致したら補完候補として提示するとか、そういうことなのかな…必要とは思えないけど…
Re: (スコア:0)
>クリップボードが全アプリからアクセスできるのは仕様だし当然だし
そこから疑問を持たないと。
クリップボードの参照に権限が必要で、ユーザーがインストール前に確認できるOSが当然でも何もおかしくはない。
Re: (スコア:0)
Tron系OSはどうなんだろ?
Re: (スコア:0)
<WindowsでもiOSでもmacOSでもLinuxなどのX window system もほぼ全部同じ仕様
Tron系OSの仕様はどうなんでしょうか?