LinkedIn-App schnüffelt bei jeder Tastatureingabe in der iOS-Zwischenablage
Das Thema Datenschutz ist schon spannend. Die halbe Welt (inkl. mir selbst) zeigt mit dem Finger auf Facebook, WhatsApp und Google und trotzdem werden die Dienste weiter fröhlich genutzt. Komfort und Funktionalität schlagen dann eben doch immer wieder die Bedenken in Sachen Datenschutz. Anfang des Jahres entdeckten zwei Sicherheitsforscher dann, dass verschiedene Apps heimlich die Zwischenablage von iOS auslesen und somit Zugriff auf die darin lagernden Informationen haben, bei denen es sich auch um Passwörter oder Kreditkarteninformationen handeln könnte. Mit iOS 14 wird Apple hier eine neue Funktion anbieten, die den Nutzern einen Hinweis anzeigt, wenn dies geschieht. Seit die erste Beta des neuen Betriebssystems in Umlauf ist, wird das Ausmaß des Ausnutzens der Lücke überhaupt erst bekannt.
So musste die dieser Tage extrem beliebte Video-App TikTok bereits einräumen, dass man die Zwischenablage ausgelesen hat, ohne den Nutzer hierüber zu informieren. Man begründete dies mit einer Maßnahme gegen Spam, hat aber inzwischen bereits ein Update veröffentlicht, welches die Vorgehensweise nicht länger fortführt. Auch Twitter, Starbucks, Overstock oder AccuWeather wurden bereits beim Schnüffeln in der Zwischenablage erwischt. Nun ist eine weitere hochrangige App bekannt geworden, die sogar bei jedem Anschlag auf der virtuellen iPhone-Tastatur auf die Zwischenablage zugreift: Das berufliche Netzwerk LinkedIn.
LinkedIn is copying the contents of my clipboard every keystroke. IOS 14 allows users to see each paste notification.
— Don ???????????????? urspace.io (@DonCubed) July 2, 2020
I’m on an IPad Pro and it’s copying from the clipboard of my MacBook Pro.
Tik tok just got called out for this exact reason. pic.twitter.com/l6NIT8ixEF
In einem Statement gegenüber ZDNet erklärte LinkedIn bereits, dass es sich bei dem Auslesen um einen "Bug" handeln würde. Die ausgelesenen Inhalte werden nicht gespeichert oder auf die LinkedIn-Server übertragen. Man arbeite bereits an einem Update, welches das Auslesen künftig abschaltet.
Glaubwürdigkeit hin oder her, das Traurige an der ganzen Geschichte ist letzten Endes, dass die Unternehmen ihre Praktiken so lange durchführen, bis sie dabei erwischt werden. Wie gesagt, die Lücke wurde bereits Anfang des Jahres bekannt und zumindest bei TikTok hat ja bereits zugegeben, dass man sie bewusst ausgenutzt hat. Aus Entwicklersicht kann ich mir beim besten Willen auch nicht vorstellen, dass die LinkedIn-Vorgehensweise "aus Versehen" oder als "Bug" implementiert wurde. Und dennoch dauerte es bis zur Veröffentlichung der ersten Beta von iOS 14 und damit der öffentlichen Enttarnung, bis man endlich reagierte.