ショート動画サイト・SNSとして人気を博している『TikTok』ですが、一部メディアから「ペーストボード」をユーザーの許可なく読み込んでいる、という報告がありました。
ペーストボード(クリップボード)はパスワード入力時などに頻繁に使われるために非常に重要な箇所。
今回はそのTikTokの「ペーストボード読み込み」問題と、その危険性、その他の「ペーストボード閲覧アプリ」をまとめましたのでご紹介致します!
もくじ
TikTokがユーザーに無断で「ペーストボード」を見てる?
一部メディアで「「TikTok」がアプリ起動時にユーザーのペーストボードを見ている」という指摘がありました。そもそもペーストボードとは何なのか?それらの説明も含めて、一体どのようなことが行われているのか、解説致します。
iPhoneの「ペーストボード」とは?
そもそも「ペーストボード」とは、テキストなどを一時的に保存しておく「メモ」の機能で、Windowsなどでは「クリップボード」などと呼ばれています。
iPhoneの「ペーストボード」機能を確認するには、
▼iPhoneでテキストの入力が可能なところで「長押し」をするとこのようにペーストと表示されます。
このペーストをタップして表示される内容が「ペーストボードに保存されていた内容」で、このペーストボードに文字を保存するには、
▼入力されているテキストを長押しするとカットコピーペーストというメニューが表示されますので、コピーをタップします。
▼そしてさらに別の場所を長押しすると再度カットコピーペーストのメニューが表示されますので、ここではペーストをタップすると
▼このように、先程コピーで保存した内容がそっくりそのまま貼り付けられたのが確認できます。
TikTokが「ペーストボード」を見てるかどうかの検証動画
そして海外のデベロッパーが検証した動画が▼こちら。
前編英語字幕で構成されていますが、簡単に解説すると、
- TikTokのアプリを開いたときにペーストボードを読みに行っている
- 「ローディング」と画面に記載されている時にペーストボードが読まれている
- アプリを閉じ、再起動する度にサイトペーストボード読まれている
という内容がログを表示しながら語られています。
TikTokが『ペーストボード』が見ているとなぜ危険?
では、なぜ「ペーストボード」が見られていると危険なのでしょうか?
TikTokが他サービスで使っている「パスワード」などを見れる状態だった?
実際に、SNSや銀行のサービスなど「ログインが必要なすべてのサービス」にログインする時、大抵の場合、「パスワード」が必要になります。
そのパスワードを入力する際に、基本的にはテキストで保存されたパスワード文字列をコピーとペーストでログイン画面に入力してるユーザーが大半かと予想されます。
このコピーとペーストの際に利用する、一時的な保存場所が「ペーストボード」なのです。
動画の中で「TikTokの毎起動時にペーストボードが読まれていた」と表示されていますが、
起動前後に万が一別サービスの「パスワードをコピー」していたとすると、
- ↓別サービスのログインを行い、
- ↓その時に「ペーストボード」を使っていたとすると
- TikTok側がアプリ起動時そのユーザーのパスワードを閲覧できていた
ということになります。
TikTok側で「これがパスワードである」ということは判別できないが…
もちろん、パスワード自体は「ただの文字列」に過ぎませんので、そのパスワードから「どのサービスのパスワードか」を判別することはできませんが、TikTokの場合、TikTok自体にログインするために他サービスの認証やメールアドレスが必要になりますので、もしペーストボードからパスワードが保存されていた、となると、
- メールアドレス(or SNSアカウント)+パスワードのセットをTikTok側が保存している
ということが言えてしまいます。
当然、TikTok側が情報漏えいをしなければ問題なし…だが
TikTokも近年セキュリティの信頼を得るために様々な施策がアプリ内に実装されていますので、その信頼を保つためにも不用意に情報を取り扱うことはしないと思いますが、一度保存されたものがどのような取り扱いに(実際的に)なるのかは、誰にも分かりません。
【対策】『ペーストボード』を空の状態にする方法
毎日TikTokを起動しているユーザーに取ってみれば、「アプリの起動」は避けられない通過点になります。では、どのように「ペーストボード」をクリアにするかという方法をご紹介致します。
「空白」「スペース」をコピーする
ペーストボードを空にする方法は非常に単純で、「空白」や「スペース」をコピーすることで、直前にコピーしたパスワードを破棄することができます。
▼まず、何も文字が記載されていないところを長押ししてカットコピーペーストのメニューを表示させ、この状態でコピーを選択します。
これでペーストボード内の情報は「空白」(もしくは改行)という意味のある文字列ではなくなりました。
ただし、今回指摘されている挙動は「過去のペーストボードの履歴」も読まれていた、という指摘も存在するため、この「空白をコピーする」ということも完全な対策ではありません。
複数の過去のコピーが、果たしてどのくらいの数が読まれていたかは不明ですが、ある程度遡って読み取れると想定すると、この「空白をコピー」もある程度の回数を行わないと意味がなさそうです。
面倒臭い!という場合
上記の方法が面倒!という場合、代替案としてもかなり原始的ですが、「パスワードなどの重要な情報はペーストボードを利用しない」という手段も考えられます。
TikTokだけじゃなかった!ペーストボードを読み込んでいたアプリ
今回の動画・記事ではTikTokがメインで報告されていますが、実はペーストボードをユーザーの許可無く読み込んでいたアプリはTikTokだけではありませんでした。
以下が同エンジニアから指摘された「ペーストボード」の読み込みを行っていたアプリとなります。
ニュース系アプリ
ABC News
Al Jazeera English
CBC News
CBS News
CNBC
Fox News
News Break
New York Times
NPR
ntv Nachrichten
Reuters
Russia Today
Stern Nachrichten
The Economist
The Huffington Post
The Wall Street Journal
Vice News
ゲーム系アプリ
8 Ball Pool™
AMAZE!!!
Bejeweled
Block Puzzle
Classic Bejeweled
Classic Bejeweled HD
FlipTheGun
Fruit Ninja
Golfmasters
Letter Soup
Love Nikki
My Emma
Plants vs. Zombies™ Heroes
Pooking – Billiards City
PUBG Mobile
Tomb of the Mask
Tomb of the Mask: Color
Total Party Kill
Watermarbling
SNS系アプリ
TikTok
ToTalk
Tok
Truecaller
Viber
Weibo
Zoosk
その他のアプリ
10% Happier: Meditation
5-0 Radio Police Scanner
Accuweather
AliExpress Shopping App
Bed Bath & Beyond
Dazn
Hotels.com
Hotel Tonight
Overstock
Pigment – Adult Coloring Book
Recolor Coloring Book to Color
Sky Ticket
The Weather Network
参照:Popular iPhone and iPad Apps Snooping on the Pasteboard
まとめ
いかがでしょうか?
今回はTikTokがユーザーの許可なくペーストボード(クリップボード)の内容を読み込んでいた、という内容をご紹介致しました。
やはり見られて一番リスクがある情報が「パスワード」にはなりますが、「それがパスワードかどうか」は、文字列を見ただけでは判断できないため、「今すぐにTikTokの使用が危ない!」とはなりませんが、やはりどことなく気持ち悪い感じは残るかと思います。
また、「ログを見る」という簡単な手段で分かる挙動であることから、明らかに悪意のある仕込みである可能性は低いと思われますが、これらも今後の調査や詳細の発表が待たれます。
かなり手間・面倒は増えますが、当面はパスワードをコピー後、クリップボードを空にすることが安全ですね…。
