Aplicaciones populares de iOS como TikTok podrían estar husmeando en información sensible del usuario como direcciones de Immediate Edge y contraseñas bancarias, según la publicación de seguridad ArsTechnica, de la que se informó a principios de esta semana.
Fisgonear en las direcciones de Bitcoin
Los informes de esta semana confirman el lanzamiento de la semana pasada de la beta de desarrollo del iOS 14 de Apple para el iPhone, que alerta a los usuarios cuando las aplicaciones móviles “leen” datos de la sección del portapapeles de los dispositivos – e incluso los de los dispositivos cercanos con un AppleID.
El lapso de seguridad ha existido desde marzo de este año. Los investigadores Tommy Mysk y Talal Haj Bakry, en ese momento, dijeron que la aplicación social china TikTok y otras estaban “recordando datos” del portapapeles del iOS y iPadOS.
Los recortes incluyen direcciones de Bitcoin y otra información financiera sensible, señaló ArsTechnica
El iOS 14 beta incluye una alerta personalizada para el usuario cuando otra aplicación está “copiando” o leyendo información del portapapeles – incluso cuando el dispositivo está en reposo. En particular, TikTok en está solicitando datos cada par de pulsaciones de teclas, un tweet ahora viral muestra.
Los diversos dispositivos modernos de Apple, incluyendo iPhones, iPads y computadoras Mac, también comparten una función de Portapapeles Universal. Cuando los dispositivos que comparten un ID de Apple están cerca (unos 3 metros), pueden leer los datos del portapapeles de los otros, en caso de que quieras pegar algo de un dispositivo a otro.
Lo anterior es perjudicial para todos los datos sensibles almacenados por el usuario en un dispositivo de Apple; incluyendo contraseñas personales, direcciones de Bitcoin y otra información sensible. Descifrar notas:
“Aunque es probable que la mayoría de las principales aplicaciones identificadas no estén usando la función de forma maliciosa, la existencia de la función plantea dudas sobre la seguridad de los datos dentro de iOS”.
50 Otras aplicaciones utilizan la función
Según los investigadores, otras 50 aplicaciones importantes utilizan la función de copia del portapapeles, desde noticias como The New York Times, CBS News y Fox News, juegos como Bejeweled y PUBG Mobile, y otras aplicaciones como AccuWeather y Hotels.com.
El Telegraph informó en marzo que TikTok parchearía el tema, pero como el reciente informe muestra, no lo hizo. Un representante de TikTok dijo a ArsTechnica que la función era una medida anti-spam, y una futura actualización elimina el problema.
Pero Mysk no está impresionado. Afirma que sólo dos aplicaciones – Hotel Tonight y 10% Happier – han sido actualizadas, mientras que otras siguen ejecutando la función maliciosa.