Decine di app iOS leggono il contenuto degli appunti senza averne diritto

Già a marzo scorso due ricercatori avevano lanciato l’allerta: 53 applicazioni per Apple iOS leggono il contenuto degli appunti e di fatto se ne impossessano senza alcuna autorizzazione da parte degli utenti (vedere questo resoconto dettagliato con l’elenco delle app coinvolte in questa pratica).

Tra le applicazioni che leggono i dati contenuti nella clipboard, che spesso può contenere informazioni personali, password, chiavi, codici usati per l’autenticazione e così via, c’è TikTok insieme con tante altre.

Se ne torna a parlare perché il problema non è stato ancora risolto e viene valutato come estremamente grave. “Non c’è ragione per cui queste applicazioni accedano al contenuto degli appunti. Un’app che non dispone di alcun campo per l’inserimento del testo, poi, non ha a maggior ragione alcun titolo per usare la clipboard“, ha commentato Tommy Mysk, uno degli esperti.

Il problema, certo, non di poco conto se si tiene presente che i dispositivi Apple possono usare la cosiddetta universal clipboard: si tratta di un’area degli appunti condivisa tra tutti i device che non sono distanti più di tre metri l’uno dall’altro.

Il video che segue mostra proprio la lettura del contenuto degli appunti da parte delle app installate sui dispositivi Apple:

Apple ha deciso di arginare, almeno parzialmente, questa pratica con il rilascio di iOS 14, al momento in versione beta. Chi ha installato in anteprima la nuova versione del sistema operativo ha iniziato a veder comparire degli avvisi che informano ogniqualvolta un’app installata accede al contenuto degli appunti e fa propri i dati ivi presenti. Nel video che segue un esempio di quante e quali applicazioni interagiscono con la clipboard.

Mysk ha osservato che la funzione di notifica sulla quale stanno lavorando i tecnici di Apple è certamente un buon inizio ma che, in definitiva, Apple e Google dovrebbero fare di più. Una possibilità è quella di rendere l’accesso agli appunti un permesso standard, così come lo è ora l’accesso a un microfono o a una fotocamera. Un’altra possibilità è quella di richiedere agli sviluppatori di app di rivelare con precisione quali sono i dati degli appunti che vengono utilizzati e cosa ne fa l’applicazione.

Per difendersi, per il momento, gli utenti possessori di un dispositivo mobile, dopo aver copiato i dati d’interesse dall’area degli appunti, possono eliminare le informazioni personali e i dati sensibili copiando nella clipboard una frase o un termine casuale.