NEWS : Gawat! TikTok, New York Times, dan Reuters Mengakses Data Clipboard Perangkat iOS

Gawat! TikTok, New York Times, dan Reuters Mengakses Data Clipboard Perangkat iOS

Gawat! TikTok, New York Times, dan Reuters Mengakses Data Clipboard Perangkat iOS
iPhone | Foto: Unsplash
Andi Nugroho, Tenri Gobel Selasa, 30 Juni 2020 - 10:38 WIB

Cyberthreat.id – Sebanyak 56 aplikasi iOS, termasuk TikTok, teridentifikasi bisa mengancam privasi para pengguna iPhone.

Ini lantaran aplikasi-aplikasi itu bisa mengakses data-data sensitif, seperti kata sandi, alamat dompet cryptocurrency, tautan pengaturan ulang akun, dan pesan pribadi yang disimpan di clipboard iPhone atau iPad.

Serangan privasi tersebut, menurut Arstechnica,  diakses Selasa (30 Juni 2020), karena aplikasi berulang kali membaca teks apa pun yang berada di clipboard—biasa digunakan di komputer dan smartphone untuk menyimpan teks.

Masalah itu ditemukan pertama kali oleh peneliti Talal Haj Bakry dan Tommy Mysk pada Maret lalu. Menurut peneliti, aplikasi-aplikasi itu dengan sengaja mengambil teks dari clipboard pengguna tanpa alasan yang jelas.

Peneliti mengkhawatirkan pembacaan clipboard itu bisa membuka kemungkinan lain, yaitu membaca data sensitif clipboard pada perangkat lain yang terkoneksi.

“Ini sangat berbahaya,” kata Mysk.

“Aplikasi-aplikasi ini membaca clipboard dengan tidak ada alasan untuk melakukannya. Aplikasi yang tidak memiliki bidang teks untuk memasukkan teks, tidak memiliki alasan untuk membaca teks clipboard,” ia menambahkan.

Pekan lalu, Apple baru saja menerbitkan iOS 14 versi beta. Ternyata, fitur baru yang ditambahkan pada iOS14 bisa mendeteksi atau menangkap masalah-masalah pembacaan teks pada clipboard. Apple memberikan peringatan banner setiap kali aplikasi membaca konten clipboard, seperti video di bawah ini:

Dari puluhan aplikasi, TikTok termasuk yang paling menjadi sorotan dalam kasus ini. Ini lantaran media sosial video ini memiliki pengguna yang sangat besar di dunia.

Sejauh pengamatan Mysk, apalikasi TikTok  tidak pernah menghentikan pemantauan clipboard. Pembacaan clipboard terjadi setiap kali pengguna TikTok memasukkan tanda baca atau mengetuk bilah spasi saat menulis komentar.

“Itu berarti pembacaan clipboard dapat terjadi setiap detik atau lebih, kecepatan yang jauh lebih agresif daripada yang didokumentasikan dalam penelitian Maret lalu, yang menemukan pemantauan terjadi ketika aplikasi dibuka atau dibuka kembali,” tulis Arstechnica.

Menanggapi temuan itu, TikTok mengatakan, persoalan itu dipicu oleh fitur yang dirancang memang untuk mengidentifikasi perilaku berulang yang bersifat spam.

TikTok mengklaim telah mengirimkan pembaruan ke App Store. Sementara, untuk Android, TikTok mengklaim tidak pernah menerapkan fitur anti-spam.

TikTok mengatakan sangat berkomitmen untuk melindungi privasi pengguna dan bersikap transparan dengan cara kerja platformnya.

Pengembang aplikasi 10% Happier: Meditation juga berjanji untuk menghentikan perilaku itu dan segera menindaklanjutinya.

Apakah wajar?

Dalam beberapa kasus aplikasi, kata peneliti, membaca data clipboard memang dapat membuat aplikasi jauh lebih efektif bekerja.

Aplikasi UPS iPhone, misalnya, menarik teks dari clipboard, dan, jika teks cocok dengan karakteristik nomor pelacakan, aplikasi meminta pengguna untuk melacak paket yang sesuai.

Google Chrome juga menarik teks dan, jika itu URL, akan meminta pengguna untuk menjelajahinya. Aplikasi edit foto, Pixelmator, hanya membaca data jika itu adalah gambar. Jika ya, Pixelmator akan meminta pengguna untuk membukanya untuk diedit.

Dalam ketiga kasus, pembacaan data memiliki penggunaan yang jelas dan transparan, kata peneliti.

Hal itu berbeda dengan 56 aplikasi tersebut yang mengakses clipboard tanpa alasan yang jelas dan tanpa indikasi bahwa aplikasi melakukan akses itu.

Mysk menghargai fitur notifikasi Apple (khusus iOS 14 versi beta) sehingga pengguna mengetahui ada pembacaan clipboard.

Namun, ia berharap Apple dan Google juga harus berbuat lebih banyak dengan menetapkan izin standar akses ke clipboard, seperti halnya akses ke mikrofon atau kamera.

Untuk saat ini, pengguna diminta untuk hati-hati menyimpan data apa pun di clipboard , kata peneliti.

Selain TikTok, peneliti menemukan bahwa aplikasi iOS berikut membaca data clipboard pengguna setiap kali aplikasi dibuka:

News (keterangan nama aplikasi—BundleID)

  1. ABC Newscom.abcnews.ABCNews
  2. Al Jazeera Englishajenglishiphone
  3. CBC Newsca.cbc.CBCNews
  4. CBS Newscom.H443NM7F8H.CBSNews
  5. CNBCcom.nbcuni.cnbc.cnbcrtipad
  6. Fox Newscom.foxnews.foxnews
  7. News Breakcom.particlenews.newsbreak
  8. New York Timescom.nytimes.NYTimes
  9. NPRorg.npr.nprnews
  10. ntv Nachrichtende.n-tv.n-tvmobil
  11. Reuterscom.thomsonreuters.Reuters
  12. Russia Todaycom.rt.RTNewsEnglish
  13. Stern Nachrichtende.grunerundjahr.sternneu
  14. The Economistcom.economist.lamarr
  15. The Huffington Postcom.huffingtonpost.HuffingtonPost
  16. The Wall Street Journalcom.dowjones.WSJ.ipad
  17. Vice Newscom.vice.news.VICE-News

Games

  1. 8 Ball Pool™com.miniclip.8ballpoolmult
  2. AMAZE!!!com.amaze.game
  3. Bejeweled — com.ea.ios.bejeweledskies
  4. Block PuzzleGame.BlockPuzzle
  5. Classic Bejeweledcom.popcap.ios.Bej3
  6. Classic Bejeweled HDcom.popcap.ios.Bej3HD
  7. FlipTheGuncom.playgendary.flipgun
  8. Fruit Ninjacom.halfbrick.FruitNinjaLite
  9. Golfmasterscom.playgendary.sportmasterstwo
  10. Letter Soupcom.candywriter.apollo7
  11. Love Nikkicom.elex.nikki
  12. My Emmacom.crazylabs.myemma
  13. Plants vs. Zombies™ Heroescom.ea.ios.pvzheroes
  14. Pooking – Billiards Citycom.pool.club.billiards.city
  15. PUBG Mobilecom.tencent.ig
  16. Tomb of the Maskcom.happymagenta.fromcore
  17. Tomb of the Mask: Colorcom.happymagenta.totm2
  18. Total Party Killcom.adventureislands.totalpartykill
  19. Watermarblingcom.hydro.dipping

Social Networking

  1. TikTokcom.zhiliaoapp.musically
  2. ToTalktotalk.gofeiyu.com
  3. Tokcom.SimpleDate.Tok
  4. Truecallercom.truesoftware.TrueCallerOther
  5. Vibercom.viber
  6. Weibocom.sina.weibo
  7. Zooskcom.zoosk.Zoosk

Lainnya

  1. 10% Happier: Meditationcom.changecollective.tenpercenthappier
  2. 5-0 Radio Police Scannercom.smartestapple.50radiofree
  3. Accuweathercom.yourcompany.TestWithCustomTabs
  4. AliExpress Shopping Appcom.alibaba.iAliexpress
  5. Bed Bath & Beyondcom.digby.bedbathbeyond
  6. Dazncom.dazn.theApp
  7. Hotels.comcom.hotels.HotelsNearMe
  8. Hotel Tonightcom.hoteltonight.prod
  9. Overstockcom.overstock.app
  10. Pigment – Adult Coloring Bookcom.pixite.pigment
  11. Recolor Coloring Book to Colorcom.sumoing.ReColor
  12. Sky Ticketde.sky.skyonline
  13. The Weather Networkcom.theweathernetwork.weathereyeiphone

Sementara itu, berikut ini adalah video yang menunjukkan bagaimana spionase clipboard secara umum:


Standardisasi dan Validasi Teknologi