Tra le app che accedono inutilmente ai dati della clipboard figura anche TikTok, che teoricamente non ha alcuna giustificazione funzionale per questo tipo di accesso.
Come spiegato nei giorni scorsi, le app su iOS hanno un accesso illimitati ai dati copiati o tagliati nella clipboard. In pratica, quando un utente copia un’immagine o un testo, l’app può immediatamente vederne il contenuto e i relativi metadati come la posizione in cui è stata scattata la foto. Anche i widget installati su iOS possono raccogliere silenziosamente i dati copiati negli appunti, all’insaputa dell’utente. Apple ha fatto sapere che non ritiene questa procedura un rischio per la sicurezza e che si tratta di un comportamento previsto, anche quando ad accedere a questi dati sono app che, teoricamente, non hanno funzioni legate alla clipboard.
Tra queste app figurano anche titoli molto noti come TikTok, Accuweather, Truecaller, Overstock e tanti altri.
Gli sviluppatori Tommy Mysk e Talal Haj Bakry hanno utilizzato le righe di comando Xcode per analizzare il comportamento delle app e hanno pubblicato un video delle loro scoperte.
La ricerca non suggerisce che queste app stiano facendo qualcosa di dannoso con tali dati, ma di fatto possono accedervi e possono leggere gli appunti copiati dagli utenti, anche quando si tratta di immagini.
Questo metodo potrebbe essere usato per leggere informazioni sensibili copiate dagli utenti, come numeri di carta di credito o password in chiaro. Se un utente copia un’immagine nel suo rullino fotografico, potrebbe includere anche metadati con posizioni o coordinate specifiche.
I due sviluppatori sostengono che Apple dovrebbe agire per chiudere la vulnerabilità perché sarebbe abbastanza banale creare codice dannoso in grado di leggere questi dati anche di nascosto. Cosa ne pensate?