iOS 14: Warnmeldung weist auf Auslesen der Zwischenablage hin
Ein Artikel der Entwickler Talal Haj Bakry und Tommy Mysk brachte den Stein bereits Anfang März ins Rollen. iPhone-Apps können bei ihrer Verwendung auf den Inhalt der Zwischenablage zugreifen und dabei unbemerkt teils auch auf sensible Daten lesen. Apple hat mittlerweile auf diese Kritik reagiert, iOS 14 zeigt entsprechende Warnmeldungen an. Der neue Sicherheitsmechanismus trägt auch schon erste Früchte und erste Entwickler sehen sich bereits im Vorfeld gezwungen, etwas an dieser Praxis zu ändern.
iOS 14 legt die bislang versteckten Hintergrundprozesse durch die Anzeige einer entsprechenden Warnmeldung offen. Auf das erste Feedback früher Beta-Tester hin haben die TikTok-Entwickler sich nun gezwungen gesehen, diese Fehlfunktion zu korrigieren. In der aktuellen TikTok-App findet die Abfrage nicht mehr statt und es ist davon auszugehen, dass die Entwickler weiterer Apps diesem Beispiel folgen, oder die Gründe für den Zugriff nachvollziehbar erklären.
Wir wollen an dieser Stelle darauf hinweisen, dass mit diesem Vorgang nicht zwingend zweifelhafte Interessen verbunden sein müssen. Es ist zumindest denkbar, dass Entwickler die Funktion „blind“ oder mit dem Hintergedanke an eine bessere Nutzererfahrung implementiert haben. Wichtig für eine umfassende Analyse wäre somit auch, wie die App selbst mit diesen Informationen verfährt.
Mit Blick auf die Tatsache, dass Apple den Inhalt der Zwischenablage auch über iCloud zwischen den Geräten überträgt, könnte die Tatsache prekärer sein, als zunächst gedacht. Der Hinweis darf somit zunächst als willkommene Erweiterung zur Verbesserung der Gerätesicherheit gesehen werden. Das Video unten macht deutlich, in welchem Ausmaß die Inhalte der Zwischenablage derzeit noch zwischen den Apps ausgetauscht werden.
Die Bild-App auch :(
Holger, 40?
Mein herzliches Beileid für das Nutzen der Bild-App!
Also ich finds praktisch, wenn man z.B. ne IBAN kopiert für ne Überweisung wird die automatisch eingefügt, zumindest in der Sparkassen App
Ich fände es praktisch, wenn diese Funktion genauso wie Zugriff auf Mikrofon und Kamera einzelnen Apps untersagt werden könnte. Dann hat man nicht dieses Theater aber auch nicht jedes Mal ein Pop-up wegzutippen.
ja, praktisch schon. aber das entscheidest ja du, wann das passieren soll. was hier beschrieben wird, ist das automatische (!) auslesen der zwischenablage durch apps, wenn sie gestartet werden. wozu das gut sein soll? für den nutzer ohne mehrwert. denn wie gesagt, sollte der darüber entscheiden, wann er diese daten gezielt an eine app übergibt. der fehler liegt darin, dass die zwischenablge einfach nicht geschützt ist. also ein fehler von apple.
Die Tagesschau-App der ARD liest auch die Zwischenablage aus. Per Bildschirmaufnahme dokumentiert, habe ich bei der ARD per E-Mail nachgefragt, was mit den Daten passiert. Natürlich keine Antwort erhalten. Soviel zum gelobten europäischen Datenschutz und Auskunftsanspruch. Wobei ich der ARD nichts böse unterstelle. In manchen Apps ergibt das ja wirklich einen Sinn.
In einigen ja, aber in einer News-App in der der Hauptteil aus „Lesen“ besteht, muss nicht direkt beim Start von der Zwischenablage gelesen werden. Wozu auch?
Hast du direkt den*die Datenschutzbeauftragten*in angeschrieben? Falls ja, gib ihnen die zwei Wochen, die ihnen zur Antwort (soweit ich mich erinnere) zustehen.
@Malvin Oh, ok. Ich dachte, das hättest du nun nach Erscheinen der iOS 14 Beta gemacht, sorry
@Marc, ein wenig Zeit solltest Du denen schon einräumen. Ist ja schon eine sehr spezielle Frage.
@Melvin und @Gast
Ich habe vor ungefähr drei Monaten den Datenschutzbeauftragten angeschrieben. Das Verhalten ist ja nicht neu. Ohne diesen neuen Hinweis in iOS 14 ist man halt nur per Zufall darauf gekommen, wenn ein „Mac-iPhone-Synchronisation-Dialog“ kurz angezeigt wurde.
Apple stellt sich hier wieder als Retter des Datenschutzes dar dabei könnten sie beim aufwändigen Freigabeprozess der Apps genau solche Apps die das Feature ausnutzen ganz einfach rausfiltern.
Langsam ist es nur noch Methode, jedes Jahr zur WWDC noch geiler als Weißer Ritter der Betriebssysteme aufzutreten. Es nervt.
Schaut Apple eigentlich in den Code? Dann wär es ja wirklich „einfach“ nachzuvollziehen was damit passiert.
Nach meinem Kenntnisstand bekommt Apple beim Einreichen einer App nicht den Quellcode – das wären ja teilweise auch Betriebsgeheimnisse. Stattdessen dürften sie die fertig übersetzte Anwendung in binärer Form bekommen.
Dann lässt sich zwar z.B. noch prüfen, welche Funktionen des Betriebssystems aufgerufen werden, aber eine Analyse auf Quelltextebene gestaltet sich so schwierig.
Gruß
Nein, da nur Binaries eingereicht werden.
Ich vermute mal, dass oftmals der eingesetzte Framework-Zoo die Ursache des Übels ist und das auch die App-Entwikcler manchmal garnicht auf dem Schirm haben.
Das brauchen sie gar nicht. Apple schaut sich API calls an, um z.B. Apps rauszufiltern, die keine öffentlichen APIs benutzen.
Wenn es ihnen wirklich ernsthaft um Datenschutz gehen würde und nicht um möglichst medienwirksame Außendarsellung, dann hätten sie in ihre Auditliste den Punkt aufgenommen zu überprüfen wieso überhaupt und wie oft die Zwischenlage abgefragt wird.
Dann würden Apps wie TikTok nämlich nicht nach jeder Eingabe NUR EINES Zeichens in Textfelder die Zwischenablage überprüfen.
+1
Die Zwischenablage-Funktion ist ja nicht grundsätzlich verboten. Warum sollte die Apple herausfiltern. Und diese neue Abfrage in iOS 14 wurde noch nicht mal angekündigt, sie wurde von Beta-Testern entdeckt. Warum nun Apple geheuchelten Datenschutz-Aktivismus unterstellen?
die zwischenablage muss zugriffsgeschützt sein und sollte nur auf eine nutzeraktion (einfügen) hin übergeben werden.
… daskann doch nicht so schwer sein.
Das feature dürfte für ordentlich wirbel sorgen.
Bild, ARD, TickTock,….
Denke ich nicht. Allgemein habe ich den Eindruck, nur Apple und ich ist Datenschutz noch wichtig. ^^ Ich hoffe, dem ist nicht so.
Das es für Wirbel sorgt, glaube ich aber wirklich nicht.
Doch, TikTok hat schon angekündigt es zukünftig zu lassen.
Was ich schon sehr gut finde und es werden bestimmt viele folgen.
TikTok*
„What happens on your iPhone, stays on your iPhone.“ – Wieder ein Beweis für Apples Marketing-blablabla. Alles was ich in die Zwischanblage kopiere landet in irgendeiner Cloud. Bravo.
Das ist eher ein Beweis für Deine Unfähigkeit Dich mit dem Thema auseinanderzusetzen.
a) Der Zwischenablage-Sync erfolgt nur, wenn Du Handoff aktivierst und b) ist es ausschließlich die iCloud, nicht irgendeine Cloud.
Das alles ist seit langer Zeit bekannt, dokumentiert, natürlich auch deaktivierbar und ganz sicher kein Privacy-Problem.
Dazu müsste man sich mit einem Thema ja mal tiefer beschäftigen. Das scheint leider immer mehr aus der Mode zu kommen. Lieber rummotzen, dass das System nicht das macht was man will.
Blöderweise machen Systeme nie was man will, sondern das was man ihnen sagt. Und das ist eben nicht unbedingt das Gleiche….
Ich denke, lorem.ipsum bezog sich auf fremde Apps, die unbemerkt die Zwischenablage überwachen und den Inhalt ggf. in „ihre“ Cloud schieben…
Zumindest legt das der Artikel nahe.
Gruß
Danke @hotrs. Wenigstens einer der fähig ist zu verstehen was ich meine. Als würde nur Apple eine Cloud besitzen.
@Jack, es ist sehr wohl ein Privacy Problem, wenn nicht sogar ein Skandal. Aber wir sprechen hier von Apple, mit der weißen Weste. It’s not a butg, it’s a feature.
@Uwe, vielleicht beherzigst du deinen Ratschlag mal selbst.
Das was du beschrieben hast, hat nun wirklich gar nichts mit dem Inhalt des Artikels und der berechtigten Kritik von lorem.ipsum an den Praktiken der genannten Apps zu tun.
Wenn ich mich recht erinnere, landet übrigens gar nichts in der Cloud aus der Zwischenablage.
Diese Funktion nutzt rein Bluetooth und auch funktioniert auch nur in unmittelbarer Nähe
Hier übrigens der Security Artikel dazu:
https://support.apple.com/de-de/guide/security/secf78dbe639/1/web/1
ja, und es geht nicht um daten, die in iCloud landen, sondern solche, die von anderen apps aus der zwischenablage ausgelesen und irgendwohin geschickt werden! pins, ibans, passwörter …
Den Nutzer selber die Wahl lassen wäre sinnvoll!
In den Datenschutzeinstellungen, wie Kamera oder Foto-Zugriff.
Standard ist „aus“ und jede App bei der man das nutzen möchte schaltet man selber an. Fertig.
Sollte doch relativ einfach von Apple zu integrieren sein.
Den Zugriff auf Daten der Zwischenablage könnte man grundsätzlich immer nur dann durch das System freigeben, nachdem der Anwender entsprechend interagiert hat („einfügen“).
Alles andere ist Komfort zu Lasten der Sicherheit.
Henne-Ei-Problem: Wenn Du keinen Zugriff auf die Zwischenablage hast, dann kannst Du nicht prüfen ob sie Inhalt hat und damit auch nicht entscheiden, ob Du Einfügen als Kommando überhaupt anbietest.
@uwe: eine möglichkeit wäre, die app über einen regex prüfen zu lassen, ob eine bestimmte url (zb. youtube.com) in der zwischenablage ist. wenn return: true zurück kommt, kann die app einen hinweis anzeigen
Ich verstehe überhaupt nicht, warum eine App ohne mein Eingreifen auf die Zwischenablage zugreifen soll. Solange ich nicht „einsetzen“ sage, sollte die Zwischenablage absolutes Tabu sein. Wenn eine App darauf bereits beim Start zugreifen möchte, dann nur mit meiner expliziten Freigabe.
Sicherlich ist die Missbrauchsgefahr. Ich allzu hoch, da zum Inhalt der Zwischenablage ja nicht steht, was die Daten dadrin bedeuten (z.B. „Dies ist das Passwort für…“) aber trotzdem hat da keine App ungefragt Zugriff zu haben.
Fehlfunktion trifft’s wohl am besten haha.
Wozu benötigt eine App überhaupt Zugriff auf die Zwischenablage?
Um etwas aus einer anderen App einzufügen… 0.o
Das ginge sicher anders nur über das System selbst.
das macht nicht die app, sondern der benutzer durch den befehl „einfügen“.
Wieso hat man bei iOS eigentlich keinen Zugriff auf die Zwischenablage so wie aktuell auf Android? In meinem Galaxy S10 kann ich ganz einfach die Zwischenablage einsehen und
bei bedarf leeren.
Weil Apple für Applenutzer immer „intelligent“ mitdenkt.
Jemand schon Erfahrung ob die Banking Apps laufen? Deutsche Bank zum Beispiel?
In der Zwischenablage? Nein.
Dafür musst du sie direkt auf den System installieren.