2020-06-26

例のTikTokキーロガー疑惑について解説するよ

結論から先に。TikTokevil。でもやじうまWatch記事デマに近い。

問題やじうまWatch記事

iOS 14でバッチリ可視化TikTokが「他アプリ入力中のテキスト」を逐一読み取る様子

https://internet.watch.impress.co.jp/docs/yajiuma/1261591.html

6/27 追記

6/26のうちに訂正された模様。よかったよかった。以下は訂正前の記述について述べたものなので、後世の人たちはそのつもりで読んでいただきたい。

この記事のどこが問題

他のアプリ入力中のテキストをほぼリアルタイムで逐一読み取っている様子を可視化したムービー

いきなり最初のセンテンスから間違い。

TikTokは「他のアプリ入力中」のテキストを「ほぼリアルタイムで」「逐一」読み取っていたりしないし、元動画もそういう内容ではない。

動画の内容は、「TikTokコメント入力している」様子。Instagramとかでコメント入力してる様子じゃないよ。ここ間違えないで。

入力したデータがほかのアプリに読み取られるたびに、「アプリ名 pasted from 〇〇」といった具合に警告メッセージを表示する機能

間違いではないが、これも微妙

入力したデータ」ってのは、正確には、「ユーザが"コピー"したデータ」。ユーザが「コピー」して、クリップボードに残ってるデータのことね。キーボードで打ってる最中文字列クリップボードには入らないし、入れることはできるけどInstagramがそんな変なことしてるならそっちがおかしい。

TikTokインストールした状態Instagramを起動し、テキスト入力すると、1~3ストロークごとにそれらのデータTikTokが読み取っていることを通知するメッセージが表示される

後半の「テキスト入力すると…表示される」は正しい。ただし、TikTokコメント入力欄でな。実際、動画でやってるのはそれ。コメント入力欄にテキスト入力すると、その都度クリップボードを読んでいる通知が表示されている。それは間違いない。

このパラグラフ全体を正確なものにするためには、まだ欠けているセンテンスがある。「TikTokインストールした状態Instagramを起動し、」の後に「Instagramで文字列コピーした後にTikTokを起動して、TikTokアプリコメント欄に」ってのが必要

まりやじうまWatch記事はどう言っているか

起動していないTikTokが、他のアプリキー入力を逐一読み取っている。

本当にTikTokがやっていることは何か

TikTokアプリ起動中に、アプリ内でコメント欄に文字入力するたびに、クリップボードに残っている過去コピーデータを読み取っている

ほら、全然ちがうでしょ?

6/27 追記

誤解を招くという指摘をいただいたので「過去の」ってところを削除。クリップボードの内容は、_普通は_ユーザが「コピー操作しないかぎり変わらないので、今回のケースではキーストロークのたびに読み取っても毎回同じもの最後にどこかでコピーしたもの)が得られるはず。よくわかんないけど、きっとなにかこうする理由があるんだろうね。spam対策って説もあるようですしね。

何が批判されるべきか

やじうまWatch記事は論外として、TikTok無罪かと言うとそんなこともない。

クリップボードには、他のアプリ内でユーザコピーしたパスワードだの、クレカ番号だのが残っている可能性もある。アプリが起動されている状態であれば、クリップボードの内容は当然参照できる(アプリ間でコピペできないと困るでしょ?)ので、それらのヤバイ情報を盗めることを期待してプログラム的に参照するアプリだって、中にはあるだろう。

TikTokがそういうものかは知らない。全然知らない。

昔だったらこういうのは自己責任範疇だったかもしれないが、昨今はNGだろう。ユーザが明示的に「ペースト」を指示したときだけ、しかるべき挿入ポイントに貼り付ける。他の場合には参照しないし、ましてやどこかに送信したりもしない、というお行儀が求められる。なんなら、OSセキュリティ設定でアプリごとに「コピペアプリの中でだけ」って制限ができてもいい。

そういう観点ではTikTokevilとして批判されるべきだし、実際元動画のひとたちはそこを問題にしているはず。

もういいですね? 最後にもう一度。TikTokevil。でもやじうまWatch記事デマに近い。

なお、元動画を見る限りこうだね、ってことで。あるいは、もしかしたら、ひょっとすると、iOS14実機でInstagramでコメント入力したら記事みたいな挙動が見られるのかもねー。知らんけど。

  • 話を盛りたくて誇張してるとかじゃなく 記者が純粋にバカでチェック体制もないんだろうね

  • 元増田。 なお、TikTokがなんでそんな変な挙動を仕込んでいるのかは依然として謎。 他のアプリでコピーした内容を盗みたいだけなら、アプリが最前面に来た時に一回参照すればそれで...

    • すぱまーは同じ内容を逐一文字入力しているのではなく ほぼ間違いなくコピペで連投している。 だから、クリップボードの内容を監視することで、少なくとも、コピペスパマーは駆逐...

    • やじうまWatchってIttousaiが書いてるの!?

    • TikTokは英メディアTelegraphに対して、アプリはクリップボードの情報を収集しておらず、iOS14で通知が出るのはスパム行為を識別する機能によるものだと説明しています。 また、混乱...

  • だいたい変な英語、みょうにシンプルな英語、変な語順の英語なソフトはやばい国の製品だから

    • 日本製のこと? あ、日本のアプリは英語表記もないか。

    • いつも言語設定を敢えて英語に切り替えてる増田だけど PCソフトウェアに限った話だが(中華製はほぼ使ったことないからこの際スルーするが)、日本製のPCソフトウェアに関しては変な...

  •  ユーザーがペーストしたわけでもないのにクリップボードの内容を見れる? それってiOSの脆弱性なのでは。ペーストする前にクリップボードの内容を開示する必要ある?

    • 開示=ペーストだぞ

    • たとえば Chrome for iOS はURLをクリップボードにコピーした状態でアドレスバーをタップすると「コピーされているリンクに移動」みたいな選択肢が出てくる (昔の記憶なので今は無くなっ...

  • ブラウザみたいにユーザが許可したアプリ(ページ)以外はユーザが貼り付け操作をしない限りアプリ側から読めなくすればいいのに インストールさえすればアプリ側からいつでもクリ...

  • 動画みてないけど スマホ用のiOSで電源消して立ち上げ直すと、アイコンがデスクトップに貼って有る(まとめてない)アプリはありったけ立ち上げられてしまうし それで別に動作も...

  • クリップボードには、他のアプリ内でユーザがコピーしたパスワードだの、クレカ番号だのが残っている可能性もある。 これが本当ならそれができてしまう事の方が問題 つまりそのア...

  • やじうまWatchの記事はデマに近い。ってあれTwitterにリンク張ってるだけじゃなかった?リンク先がデマに近いってこと?

  • OSにクリップボードの変更を通知するAPIがあってもおかしくないと思うんだけど iOSにはないの? あるなら公式のAPI呼び出してるだけって話になるんだが? クリップボードの権限分離が不...

記事への反応(ブックマークコメント)

ログイン ユーザー登録
ようこそ ゲスト さん