13:31
1/7/2020

O rety, rety! Krzyczą internety, po tym jak pierwsi betatesterzy zainstalowali najnowszą wersję systemu iOS 14 na swoich iPhonach i zaczęli — dzięki nowej funkcji wbudowanej w system — widzieć ostrzeżenia, jeśli jakaś aplikacja sięga do schowka.

Co wspólnego ma TikTok z mBankiem?

Okazało się, że robi tak jedna z “najgorętszych” ostatnio aplikacji, TikTok:

Powyższe video w sieci opublikował “Chief Emoji Officer, Jeremy Burge. Straszne, prawda? ;) Zaraz później pojawiły się “dowody” na inne aplikacje, które sięgają do schowka, są nimi m.in.:

    Russia Today
    AliExpress Shopping App — com.alibaba.iAliexpress
    Hotels.com
    Viber
    Fruit Ninja
    Reuters
    New York Times

A w Polsce robi tak aplikacja mBanku:

Ale… musimy pamiętać o tym, że nie każde sięgnięcie do schowka przez aplikacje to chęć wykradzenia danych. Świetnie tłumaczy to komentarz twórcy aplikacji Apollo, która jest bombowym czytnikiem Reddita:

Zresztą świadomość tego, że aplikacje tak robią nie jest niczym nowym. Już w marcu o tym pisano, a w zasadzie świadomy był tego każdy, kto korzystał z kilku aplikacji, które po otworzeniu wyświetlały komunikat w stylu:

“W schowku masz (link, numer rachunku, zdjęcie, numer telefonu) czy otworzyć go w naszej aplikacji?”

Jak się tłumaczą twórcy?

mBank informuje, że sięganie do schowka umożliwia korzystanie z dodatkowych funkcji aplikacji. A TikTok, kontrolowany przez chińską firmę, w wypowiedzi dla BBC powiedział, że wrowadził zaglądanie w schowek, aby “powstrzymać spamowanie platformy przez wklejanie tych samych treści”.

Ale… tłumaczeniu TikToka cześć internautów nie daje wiary, bo raz że tej funkcji nie było w aplikacji na Androidzie (czyli tylko iPhoniarze spamują?) a dwa, że TikTok usunął tę funkcję 27 czerwca, w pierwszej aktualizacji po premierze nowego systemu iOS. Niektórzy ten ruch zinterpretują jako element sprzątania po spisku, inni jako chęć usunięcia funkcji, która nie jest wartościowa, a która zaraz (tj. jak iOS 14 spłynie na iPhony całego świata) zacznie generować masę domysłów i irytacji wśród użytkowników.

Czy zatem dalej korzystać z TikToka?

“Afera” ze schowkiem nie jest straszna. Sama z siebie aplikacji nie przekreśla. Niestety są inne, zdecydowanie gorsze grzechy, których dopuszcza się aplikacja TikTok (por. Usuń TikToka z telefonu, natychmiast!).

Każdy użytkownik szpiegofona powinien być świadomy tego, że aplikacja mobilna może schowek odczytać. W ogóle, użytkownicy iPhona powinni być świadomi jeszcze kilku innych “pułapek” tego systemu, z których część można usunąć poprawną konfiguracją smartfona, a części …usunąć się nie da.

Jak zabezpieczyć smartfona?

Chcesz dowiedzieć się jak zabezpieczyć iPhona albo Androida? Zobacz nasz 2 godzinny wykład, który w szczegółach przechodzi przez konfigurację smartfona pod kątem bezpieczeństwa, pokazując konkretne opcje, które warto włączyć i demonstrując dodatkowe aplikacje, które pomogą lepiej chronić Twój telefon przed atakami, a Twoje dane przed wyciekiem. Użyj kodu SCHOWEK, aby wykupić dostęp do naszego wykładu w niższej o 20PLN cenie:

PS. Obecnie dostęp do nagrań sprzedajemy w przedsprzedaży. Wykłady są na końcu montażu i zostaną udostępnione na początku przyszłego tygodnia. Ale wtedy ich cena będzie wyższa, więc nie czekaj!

Przeczytaj także:



21 komentarzy

Dodaj komentarz
  1. […] “cichego” sięgania przez TikTok do schowków użytkowników aplikacji (por. Popularne aplikacje mobilne wykradają dane ze schowków), ktoś odgrzebał bardzo ciekawy wpis pewnego badacza bezpieczeństwa, który […]

  2. Jak to sięganie do schowka ma się do aplikacji “typu” Keepass, które niejednokrotnie polecacie?

    • W KeePass polecamy AutoType.

    • W KeePassXc na iOS, którego polecaliście rzeczywiście jest funkcja Autofill, ale wymaga dopłaty 5zł. Ktoś wie czy działa to sprawnie? Zakładam, że hasła są podpowiadane podobnie jak z managera haseł oferowanego przez iOS..

      Druga sprawa to, że w opcjach Clear Cliboard on Timeout. Domyślnie wyłączona, pewnie warto włączyć.

    • Nigdy nie polecaliśmy KeePassXC na iOS. Na iOS polecaliśmy inne aplikacje. Strongboksa np.

    • A w jaki sposób można ustawić w Androidowym kliencie KeePassa autotype? Widzę tam tylko opcję “Skopiuj do schowka”.

    • KeePass na Androida instaluje klawiaturę. Trzeba ją w opcjach systemu włączyć, wtedy jak jesteś w polu tekstowym to przełączyć się na tą klawiaturę (na pasku powiadomień pojawia się opcja), a w niej są już przyciski do wpisania loginu/hasła z bieżącego aktywnego wpisu. Poza tym klawiatura ta działa też jako normalna klawiatura.

    • A ja mam pytanie do funkcji AutoType/Autofill w KeePass na Windows i logowania do serwisów, które login i password wyświetlają na osobnych stronach a nie jako pola na jednej. Standardowo AutoType wypełnia pierwsze pole loginem, przeskakuje (TAB) do następnego, wypełnia password i (ENTER) dla potwierdzenia.
      Jak to ma działać w przypadku gdy trezba wpisać login, zaakceptować stronę i na następnej wpisać password? Da się to wogóle zrobić za pomocą tej funkcjonalności?

  3. Po montażu w nagraniach webinarów jest coś więcej niż było w oryginalnym streamie?

    • Boszzz wiadomo że i tak nikt kto to zobaczył nie usunie tiktoka bo nikt nie jest tak zięba*y żeby kogoś to obchodziło a pozatym tam pisze że usuń tiktoka natychmiast i co myślicie że ktoś usunie no chyba nie to powinno być ostrzeżenie nie rozkaz więc noooo

  4. Tak dzialaja “ulatwienia”…

    Swoja droga czy tego typu inwazyjne “features” nie powinno byc udostepniane tylko w ramach opcji? Co za problem wstawic pole ON/OFF z odpowiednim opisem? Zwlaszcza ze mozna zapytac przy pierwszym uruchomieniu (jesli ktos sie boji ze default off zabije jego program)…

  5. “mBank informuje, że sięganie do schowka umożliwia korzystanie z dodatkowych funkcji aplikacji.”

    Czy jest gdzieś dostępne oficjalne stanowisko w tej sprawie?
    Z tego powyżej nic nie wynika.

    O jakie funkcje aplikacji chodzi? Czy da się coś z tym zrobić? Czy dotyczy to tylko iOS, czy również Androida?

    • Może to być również kwestia bezpieczeństwa. Aplikacja monitoruje schowek i sprawdza czy po skopiowaniu numeru konta zawartość schowka nie zostanie zmodyfikowana przed wklejeniem w pole do przelewu.

  6. Skrypty Gemiusa na stronie transakcyjnej mBanku “przypadek” https://niebezpiecznik.pl/post/uwaga-klienci-mbanku-wasze-saldo-bylo-udostepniane-zewnetrznej-firmie/
    Zachęcanie do publikacji zdjęć kart płatniczych “przypadek” https://www.dobreprogramy.pl/amp/mBank-oszalal-Zacheca-do-publikacji-zdjec-kart-platniczych-w-sieci,News,106325.html
    Przeglądanie schowka w telefonie “przypadek”.

  7. Nie kopiować do schowka wrażliwych danych i po kłopocie ;-)

  8. Zapełnić schowek czymkolwiek a apki używać tak żeby nie odwoływała się do schowka lub do odczytu miała właśnie bzdury wcześniej wklejone. Na PC jest apka która ma pod kontrolą schowek. Gdyby apka mBank sprawdzała tylko schowek w momencie weryfikacji czy skopiowany tam nr rachunku do przelewu nie jest podmieniany to OK a tak zawsze pozostają domysły co, kto i kiedy wyciąga i gdzie wysyła z naszego sprzetu nasze dane. Coraz trudniej nad tym zapanować chyba żeby siedzieć w tym nonstop albo nie mieć… wrażliwych danych ;)

  9. Ja to zauważyłem już dawno, podczas używania handoff, podczas wklejania wyświetlana jest taka animacja na środku ekranu “wklejam z (tutaj nazwa innego urządzenia)”. MiFit od Xiaomi od tego intensywnie korzysta, nie wiem po co

  10. Ciekawe co jeszcze Chiny musza zrobic zeby ludzie w koncu zbojkotowali ten kraj.

  11. Chciałem zaproponować korektę początku artykułu:
    Zamiast “O rany, rany! Krzyczą internety”
    proponuję:
    “O rety, rety! Krzyczą internety”
    Co się rymuje :D

    • Zaakceptowano. Wdrożono. Biały rym wyelimi…^Wzabito. ;)

  12. Nic nowego. Te całe smartfony to jedna wielka ściema dla społeczeństwa, wabik po to, aby sprzedawać swoją prywatność. Ile takich rzeczy wyjdzie w najbliższych latach?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: