パスワードを忘れた? アカウント作成
14225863 story
中国

TikTokが他のアプリで入力中のテキストを読み取る様子が動画化される 42

ストーリー by nagazou
一度疑われると 部門より
あるAnonymous Coward 曰く、

TikTokが他のアプリで入力中のテキストを、ほぼリアルタイムで読み取っている様子が動画化された。6月23日に発表された「iOS 14」のベータ版の機能により、その様子が可視化されたという。iOS 14では入力したデータがほかのアプリに読み取られるたびに、警告メッセージを表示する機能が搭載されている。TikTokをインストールした状態だと、テキストを入力時に1~3回のストロークごとにTikTokが読み取っていることが警告に出ている。

この挙動についてはiOS 14の発表前から指摘されており、Appleも「問題ない動作である」とコメントしているものの、これを受けてTikTokは仕様を変更したと発表している

ただ、中国資本が入っているため、何かと当局に目の付けられやすいTikTok。TikTokが実際にテキストを読み取っている様子が動画というわかりやすい形で可視化されたので、ネット上では大きな反響があった模様(INTERNET WatchGIGAZINE記事の元となったツイートYouTube)。

  • 誤報レベルだと思うのですが,正しくは「クリップボードの内容をリアルタイムで読み取っている」です.
    クリップボードにコピーしないかぎりテキストを別アプリが読み取ることはできません.

    youtubeの動画のタイトルも「iOS14 Catches Apps Spying on Your Clipboard」です
    意訳すると「クリップボードをのぞき見しているアプリをiOS14は検出できる」といった内容です.

    ただ,デモ動画では入力したテキストを逐次クリップボードにコピーするアプリを使っています.
    この点を見逃した多くの人が
    「TikTokが(全ての)他のアプリで入力中のテキストを読み取っている」と勘違いしてしまったようです.

    なおクリップボードの内容が他のアプリからも読めるのは「仕様」です.
    コピー&ペーストはこの機能を使って実装されていてます.
    ですから WindowsでもiOSでもmacOSでもLinuxなどのX window system もほぼ全部同じ仕様で
    セキュリティホールではありません.

    昔から「パスワードをコピペするのは危険」と言われているのはこのためです
    仕様上防ぎようがないので,ユーザのリテラシーに任せるしかないのです.

    ここに返信
    • 以前「コピーしたテキストをMMLとして鳴らすアプリ」とか言うのがWindowsであって、
      結構面白かったよなぁ

    • by Anonymous Coward on 2020年06月30日 12時55分 (#3842863)

      クリップボードを暗号化して、ユーザーが明示的にペーストの動作をした時だけ
      暗号鍵がアプリに渡されるという実装はできないものでしょうか。

      というかそもそも、ユーザーが明示的にペーストの動作をした時だけ、
      そのアプリに対してクリップボードの内容へのアクセス権が与えられる、
      でもいいんですけど。

      ペーストの動作を明確に規定しないといけないという問題はありますけど

      • by Anonymous Coward

        「アプリがOSのAPIを叩いた時だけ権限チェックが通れば内容が返される」という実装は可能
        暗号とは特に関係なく可能

      • by Anonymous Coward

        最近のブラウザは、そういう実装(javascriptに対して)になってるな。
        一般的なOS上では、アプリ側のUI変更を強制することになるから難しいかもなぁ。

      • by Anonymous Coward

        暗号化なんてメンドイことせずに、クリップボードAPIへのアクセス権限を管理するほうが楽だろ。

        標準的な入力用UI要素への貼付けや入力はIMEとの連携込みでOS側が握り込めばいい。
        非標準でのペーストはペーストメニューの表示要求APIを叩かせて、
        ユーザがペースト押したらクリップボードがほかアプリにより上書きされるまで読み取り許可。
        ユーザの能動的なペースト操作無しに読みたきゃ権限要求。

        • by Anonymous Coward

          スマホってファイルはコピペできないんだっけ?

    • by Anonymous Coward on 2020年06月30日 12時57分 (#3842866)

      なぜtiktokがクリップボードから随時読み取ってるわけ?というところが問題なんだよ。そこはどう思うの?
      クリップボードが全アプリからアクセスできるのは仕様だし当然だし、誰もそこは問題にしてないでしょう。

      #ちなみにinstagramはちょっとした操作ミスで入力テキストが失われてイライラする。自動でクリップボードに保存してくれるアプリは非常に便利そうだと思った

      • バックグラウンドでこんな高頻度に覗き見する必要ないよね。
        アプリがフォアグラウンドになった時だけでほぼ問題ないと思うのだけど。
        バッテリー的な意味でも良くない実装よね。

      • by Anonymous Coward

        そう思う。

        フロントに出ていないアプリがユーザーの明示的な操作もないのにチラチラとクリップボードを伺っている様は非常に気味が悪い。
        APIの仕様上可能な事は何をしても良いというのは、法に反しなければ何をしてもいいと言ってるのと変わらない。

      • by Anonymous Coward

        そこはもちろん問題なのだが、他のアプリのキーストロークを読むのは完全一発アウトな事案なのに対し、クリップボードを頻繁に読むというのは通常のアプリの挙動でもあり得ることだから、問題の大きさが全然違う。

        で、その問題に対してTikTok側は以下の記事内で「スパム的行動によく見られる反復動作を検知する中でクリップボードを見ていた」と釈明している。信じるか信じないかはあなた次第。
        https://arstechnica.com/gadgets/2020/06/tiktok-and-53-other-ios-apps-s... [arstechnica.com]

        • by Anonymous Coward

          なぜもっと危険性の高い話をもちだして矮小化するのか

      • by Anonymous Coward

        一部でも入れたらその文字に適応した例を表示するあのパターンのUIだろ。

        • by Anonymous Coward

          それはクリップボード無関係じゃねえか。
          まったく違う話を始めないでくれ

      • by Anonymous Coward

        違う違う。今回は、クリップボードが全アプリからアクセスできるのは仕様だし当然であるけど、そのことが問題とされているんだよ。
        ニュースアプリとか、ゲームとか、動画アプリとか、文字入力がほとんどなくて、明らかにクリップボードなんか使わないようなアプリが、フォアグラウンドに来たときに必ずクリップボードを読みに行ってる。
        それはなんだ?クリップボードに残った文字を読み取って、収集してるのではないのか?という話。

        Tiktokが炎上したのは、「すぐにやめます」って言って、全然やめてないから。

      • by Anonymous Coward

        無理やり理由を考えると、入力中のテキストと、クリップボードのテキストを比較して、一致したら補完候補として提示するとか、そういうことなのかな…必要とは思えないけど…

      • by Anonymous Coward

        >クリップボードが全アプリからアクセスできるのは仕様だし当然だし

        そこから疑問を持たないと。
        クリップボードの参照に権限が必要で、ユーザーがインストール前に確認できるOSが当然でも何もおかしくはない。

    • by Anonymous Coward

      Tron系OSはどうなんだろ?

    • by Anonymous Coward

      <WindowsでもiOSでもmacOSでもLinuxなどのX window system もほぼ全部同じ仕様
      Tron系OSの仕様はどうなんでしょうか?

  • by Anonymous Coward on 2020年06月30日 12時44分 (#3842856)

    Internet watch の記事に訂正が入りました。
    元ツイートは初めからクリップボードについて言及されています

    ここに返信
  • by Anonymous Coward on 2020年06月30日 13時58分 (#3842918)

    訂正後

    iOS 14でバッチリ可視化、TikTokがテキスト入力中に、クリップボードを逐一読み取る様子【やじうまWatch】 - INTERNET Watch https://internet.watch.impress.co.jp/docs/yajiuma/1261591.html [impress.co.jp]

    内容は省略するけど、tiktok内で入力処理が動くたびにクリップボードを確認に行くカンジ

    ここに返信
  • by Anonymous Coward on 2020年06月30日 12時29分 (#3842847)

    うん。それなら問題ないな。
    なんで騒ぐのか理解できない。

    ここに返信
    • by Anonymous Coward

      キーロガーは別に違法でもなんでもないからな。

      • by Anonymous Coward

        パスワードを……

        コピペならクリップボード監視
        手入力ならキーロガー
        スクリーンキーボード入力ならショルダーハッキング

        一体どうすれば orz

  • by Anonymous Coward on 2020年06月30日 12時58分 (#3842869)

    不要かつ不審な挙動であることには変わりない。
    iOS14は楽しみだ。

    ここに返信
    • by Anonymous Coward on 2020年06月30日 13時02分 (#3842874)

      ふつう、自販機があったら返金口をあさってみて、ついでに下覗くでしょう。
      だって、違法じゃないもの。
      まあ、そんなアプリだね。

      • by Anonymous Coward

        そこにお金があって、貰ってしまったら違法だけど?

      • by Anonymous Coward

        三遊亭小遊三師匠こんなところでなにやってるんですか

    • by Anonymous Coward

      不審というよりは素人臭いプログラムなんだなと思った。
      アイコンをドラッグしながら上を通ると前面に出てくるAdobe Readerと同程度に。

  • by Anonymous Coward on 2020年06月30日 13時01分 (#3842871)

    運営が個人情報を盗む以外に何の使い道があるんだ!!!!という疑問がある人が多いと思う

    一応、正当な理由としては「コピペ荒らしは手入力しないので、クリップボードを監視して
    荒らし文が入っていれば分かる」という理由が伝わってきている

    それを外部に送ってるんじゃないのか? と疑うのは自由だが決めつける前に調査は必要

    ここに返信
    • by Anonymous Coward

      言い訳としては苦しいのでは?

      ペーストされた時に確認すれば良いだけで、リアルタイムにクリップボードを監視する理由にならないのでは?
      書き込みボタンを押した時に、クリップボード内と書き込み内容を比較するだけでも良い。

      どうしてリアルタイムにクリップボードを監視する必要があったのか、実際にどういうデータを送っていたのかは説明がさらに必要だと思いますね

      • by Anonymous Coward

        データがペーストされてんのにクリップボードと突き合わせるなんて、そんな猟奇的な

        TikTokを擁護したいわけじゃないけど、クリップボードなら文字列のログイン情報とかの他に画像のデータ置き場とかにもなる。
        今時のツールだとそういうのは少しでも早くロードしてサムネイル出したいというのはあると思う。

    • by Anonymous Coward

      tiktokが嵐検出アプリなら公式の説明も納得なんだけどね。そうじゃないからw
      クリップボード内容の外部送信の有無はたいした判断材料じゃない。

      tiktok自身が嵐の対策をしたいなら、何度も同じ文章をtiktokに入力されたら嵐と判断すればいいだけ。わざわざバックグラウンドでほかのアプリ使ってるときまで監視しなくていいし、クリップボードを使わなくてもいい。

      #クリップボードの内容そのものを送信していなくても、ユーザーが嵐のような行動をしてるというフラグを送信するだけなんてケースもありえる。信頼性スコア算出用のデータとして使えるしね

  • by Anonymous Coward on 2020年06月30日 17時32分 (#3843055)

    どんなアプリにしろ、マイクの利用権とネットワーク利用権あれば社内や家庭内の会話とかまで聞かれてそうだからな

    ここに返信
typodupeerror

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

読み込み中...