TikTok以外にもLinkedInやGoogle Newsなど多数のアプリがクリップボードのデータを盗んでいる、一体なぜそんなことが起きるのか?
2020年6月25日に、中国のショートムービー共有アプリTikTokがユーザーに断りなく「クリップボードのデータを盗んでいる」ことが問題になったと報じられましたが、その後も多数のアプリが同様の挙動をしていることが次々と明るみに出ています。そこで、IT系ニュースサイトのHow-To Geekが、「なぜスマートフォンアプリによってデータが盗み出されてしまうのか?」を分かりやすく解説しています。
PSA: All Apps Can Read Your iPhone and Android Clipboard
https://www.howtogeek.com/680147/psa-all-apps-can-read-your-iphone-and-android-clipboard/
iPhone向けの最新OS「iOS 14」の開発者向けプレビュー版が2020年6月23日にリリースされると、新たに搭載されたプライバシー対策機能により「TikTokがユーザーのクリップボード内の情報を盗んでいる」ことが発覚しました。これを受けて、TikTokはすぐにアプリをアップデートし、問題となった機能に変更を加えたことを発表しました。
TikTokが「ユーザーの許可なく他アプリで入力したテキストを盗み読む仕様」を変更 - GIGAZINE
そんな中、ビジネス特化型SNSのLinkedInや、ソフトウェア開発のプラットフォームGithubの投稿を取りまとめるサービスurspaceの設立者であるドナルド・モートン氏はTwitterで「LinkedInは入力するごとにクリップボードの内容をコピーしています。TikTokがまさに同じ理由でやり玉に上げられたばかりです」と投稿しました。
LinkedIn is copying the contents of my clipboard every keystroke. IOS 14 allows users to see each paste notification.
— Don ???????????????? urspace.io (@DonCubed) July 2, 2020
I’m on an IPad Pro and it’s copying from the clipboard of my MacBook Pro.
Tik tok just got called out for this exact reason. pic.twitter.com/l6NIT8ixEF
モートン氏が投稿したムービーを再生すると、モートン氏が1文字入力するたびに、画面上部に「LinkedIn pasted from another device(LinkedInが他のデバイスからペーストしました)」というメッセージがポップアップしているのが分かります。
モートン氏はその後、オンライン掲示板Redditのアプリでも同様の現象が発生することを確認しました。
UPDATE: Seems like Reddit is capturing the clipboard on each keystroke as well ????
— Don ???????????????? urspace.io (@DonCubed) July 2, 2020
Seeing the notification come up just as much. pic.twitter.com/nzbElmRG2a
また、イギリスの一般紙Telegraphによると、Google News、Call of Duty Mobil、AccuWeather、Overstock、AliExpress、Patreonなどのアプリも、「クリップボードにコピーされた内容をユーザーに許可なく読み取る機能」を有しているとのことです。
これについて、How-To Geekは「何かをクリップボードにコピーすると、『貼り付け』を手動で選択しなくても、アプリはクリップボードの内容を読み取ることができますが、これは仕様によるものです」と指摘しました。
例えば、iPhoneでURLをコピーしてからブラウザを開くと、URL入力欄にURLを貼り付けなくても、自動的にそのURLのサイトを開いてくれることがあります。同様に、追跡番号をコピーしてから荷物配達サービスのアプリを開くと、Amazonなどで購入した荷物の配達情報が表示されます。こうした機能は、iPhoneのiOSだけでなくiPadのiPadOSやAndroidにも盛り込まれているとのこと。
How-To Geekは「連絡先、写真、位置情報などとは異なり、アプリはクリップボードのデータを読み取る前に許可を求める必要はありません。これは、単に技術的に可能なことであり、iOSやAndroidでそれを止めるものは何もないというだけのことです」と述べて、自動的にURLを開いたりする機能が、勝手にクリップボードの内容を盗むと取り沙汰された問題の正体だと指摘しました。
その上でHow-To Geekは、「クリップボード読み取りを通知する機能は、アプリが私たちのスマートフォンからどれだけの情報を取得しているかを思い出させてくれました。私たちは、個人情報をコピー&ペーストしたり、インストールするアプリを吟味したりする際に、よく注意を払うことが重要だということを改めて思い知らされたわけです」とコメントしました。
なお、How-To GeekによるとiOSやAndroidはWindowsのようにクリップボードの履歴を保持しておらず、クリップボードには最後にコピーされたデータしか格納されていないとのこと。そのため、必要なコピー&ペースト作業が終わったら、すぐに適当な文字列をコピーするだけでクリップボードからデータが流出するリスクを低減することが可能です。
また、ほとんどのパスワードマネージャーアプリは自動的にクリップボードの内容を消去する機能を持っているため、そうしたアプリの設定を見直すのも有効とのことでした。
・関連記事
TikTokがユーザーの入力している内容を盗み取っている - GIGAZINE
TikTokが「ユーザーの許可なく他アプリで入力したテキストを盗み読む仕様」を変更 - GIGAZINE
「TikTokが児童プライバシー保護法に違反し続けている」と20団体が連名で訴状を提出 - GIGAZINE
選択した部分を絶対にそのまま「コピー&ペースト」できないウェブサイト、その仕組みとは? - GIGAZINE
・関連コンテンツ
