בסוף החודש שעבר פרצה שערורייה בעולם הטכנולוגיה: גרסת הבטא של מערכת ההפעלה החדשה של אפל, iOS14, חשפה שאפליקציות פופולריות כמו טיקטוק, רדיט ולינקדאין "עוקבות" אחרי כל ההעתקות וההדבקות של המשתמשים.
לידי NEXTER הגיעו דיווחים שתופעה דומה מתרחשת גם באפליקציות פופולריות בישראל, וביניהן האפליקציות של רשת, ynet, כאן 11, ביט, פייבוקס, חוליו, מאנדיי, ביט ולאומי קארד גודיז, ME - ואפילו באפליקציית "אוכל טוב" מבית קשת.
פנינו לכל אותן אפליקציות בניסיון להבין האם הן ניגשות למידע שלכן, וכעת אנו יכולים לחשוף שמאחורי ההתראות עומד דבר גדול יותר. בניגוד ללינקדאין שעומדת כעת בפני תביעה, כל האפליקציות הישראליות שבדקנו משתמשות ברכיב צד שלישי שהוטמע באפליקציה: ספריית Firebase. אותה הספרייה היא זו שמפנה אתכם לאפליקציה הייעודית של "אוכל טוב" כששולחים לכם קישור לאתר "אוכל טוב", או פותחת את האפליקציה של תאגיד השידור הציבורי כשלחצתם על השם שלהם בגוגל.
מסתמן כי אותה ספרייה היא זו שגרמה להקפצת ההתראה, כך שהאפליקציות לא משתמשות במידע שלכם. מפתחי הספרייה מודעים לבעיה ועובדים כעת על תיקונה.
כזכור, כבר בחודש מרץ השנה דווח שאפליקציות רבות "מעתיקות בחשאי" את הדבר האחרון שהעתקתם, או בשפה מקצועית: ניגשות לקליפבורד (Clipboard). מדובר בכל דבר אפשרי שהעתקתם לאחרונה בטלפון שלכם: מספר הזהות שלכם, מספר כרטיס האשראי שלכם, מידע רפואי אישי – ואפילו תמונות. בהמשך לחשיפה, אפל החליטה להוסיף התראה שתצוף על המסך בכל פעם שאפליקציה עושה זאת.
אותה התראה החלה לפעול בגרסת הבטא של iOS 14, גרסת מערכת ההפעלה החדשה לאייפון שנחשפה בחודש יוני, ואז החלה הסערה: אפליקציית טיקטוק הסינית הייתה הראשונה לעלות למוקד, אחריה הגיע אתר הפורומים הפופולרי רדיט – ובסופו של דבר, אפילו לינקדאין מבית מיקרוסופט.
שלושתן הודיעו שיפסיקו לעשות זאת לאלתר ועובדות על עדכון תוכנה. לינקדאין לא השתמשה באותה הספרייה שבה משתמשות האפליקציות הישראליות: היא השוותה בין התוכן שהמשתמשים מקלידים בתוכה לבין התוכן שהם העתיקו קודם לכן, וכעת היא עומדת בפני תביעה.
יאיר קיבייקו, סמנכ"ל שיווק סטודיו Prime ומומחה דיגיטל, לצד גורמים נוספים בעולם הדיגיטל הישראלי, עידכנו את המכשירים שלהם דיווחו ל-NEXTER שאותה התופעה מתרחשת גם באפליקציות ישראליות בולטות, בהן אפליקציות חדשות (ynet וכאן), לצד אפליקציות בנקאיות כמו ביט ופייבוקס. אפליקציית "אוכל טוב" מבית קשת נכללת גם היא ברשימת האפליקציות.
כאמור, הכוונה היא ככל הנראה לא זדונית; מדובר בספריה פופולרית במיוחד, ובלי קשר, אפליקציות רבות ניגשות לקליפבורד שלכם כדי לשפר את חווית המשתמש שלכם. כך, אם תעתיקו קישור ותיכנסו לאפליקציה של גוגל כרום באייפון שלכם, הדפדפן יציע לכם להיכנס לאותו הקישור שהעתקתם. "אפשר לחשוב על הרבה סיטואציות של גישה לגיטימית לקליפבורד", הסביר ל-NEXTER שרון בריזינוב, העוסק בפיתוח אפליקציות למכשירי אפל. "למשל, כשהמשתמש מעתיק לינק מהאפליקציה והיא מזהה את זה, היא יכולה לפתוח לו תפריט שיתוף".
מ-ynet נמסר בתגובה: "אפליקציית ynet אינה עושה שימוש בנתונים הללו ועדכון הגרסה הקרוב יהיה תואם למערכת ההפעלה של אפל".
מחדשות 13 נמסר בתגובה: "בדומה לאפליקציות שונות, כדוגמת אוכל טוב מבית קשת, גם אפליקציית חדשות 13, מאפשרת ללקוחותיה להדביק מהקליפבורד טקסט, הבא לידי ביטוי בעיקר בעמוד החיפוש. הגישה לקליפבורד קורית רק כאשר המשתמש בוחר להדביק את הטקסט. יודגש כי חדשות 13 אינה מחזיקה פרופילים של משתמשים ובהתאם שום מידע אינו מגיע לשרתי החברה".
מכאן נמסר בתגובה: "אפליקציית כאן אינה מחזיקה פרופילי משתמשים כלל ואנו בודקים כל פרצת אבטחה באופן המעמיק ביותר על מנת לשמור על פרטיות משתמשנו באפליקציה. בדומה להרבה אפליקציות, גם אפליקצית כאן מאפשרת למשתמשים להדביק טקסט מהקליפבורד, דבר שבא לידי ביטוי בעיקר בעמוד החיפוש, אך גם כאשר רוצים לשתף תוכן מתוך האפליקציה ולהדביק טקסט או תמונות.
הגישה לקליפבורד מתרחשת רק כאשר המשתמש בוחר להדביק את הטקסט באופן יזום, והטקסט הז , כמו החיפושים עצמם, אינם נאגרים בשום מקום. אנו מברכים על מערכת ההפעלה החדשה של אפל והצעד החשוב שהיא מתריעה בפניו".
ממאנדיי נמסר בתגובה: "אפליקציית מאנדיי אינה מאחסנת או עושה כל שימוש במידע מתוך ה- clipboard. מקור ההתראה (alert) הינו באג בשירות צד שלישי שכבר תוקן. גרסה מעודכנת של אפליקציית מאנדיי הכוללת את התיקון שוחררה היום."
מביט נמסר בתגובה: "ביט לא עושה שימוש במידע של המשתמשים באפליקציה שלא נמסר על ידם ואין לה שום צורך בכך בשימוש בה. בעקבות פנייתכם, התחלנו בסדרה של בדיקות לבחינת הטענה. עד כה, לא נמצאו אינדיקציות שמאששות את הסוגיה".
מלאומי נמסר בתגובה: "אפליקציית גודיז לא מעבירה נתוני מקלדת (העתקות) לשרת לאומי ולא משתמשת במידע בצורה מקומית. מבדיקה שערכנו קיים Ticket פתוח בספריות של Google Firebase –FirebaseDynamicLinks שגורם לקפיצת ההודעה המדוברת , ספרייה זו לא בשימוש בפועל.
בנוסף ביצענו בדיקה, הורדנו את הספרייה המדוברת וראינו שההודעה לא קופצת יותר. הטיפול יבוצע לגרסה הקרובה של האפליקציה ל2.8."
מ-ME נמסר בתגובה: "1. האפליקציה ״אינה שואבת״ כדי לתמוך בזיהוי/חיפוש מספרים כאשר מועתק מכל מקום באייפון מספר טלפון ופותחים את האפליקציה או משתמשים בווידגט האפליקציה שואלת ״האם ברצונך לבצע חיפוש על מספר הטלפון״.
"יש להדגיש ששום נתון מהקליפבורד אינו מועבר לשרת שלנו! הכל מתבצע בצורה מקומית, רק לאחר אישור המשתמש לחיפוש מספר הטלפון רק המספר טלפון מועבר לשרת לביצוע החיפוש. במידה והמשתמש לא מעתיק מספר טלפון האפליקציה מתעלמת לחלוטין מהמידע המועתק.
"2. קיים תהליך שבודק על כל העתקה האם זה מספר טלפון ולפי זה שואל את המשתמש אם ברצונו לבצע חיפוש ולקבל תוצאה, במידה וזה לא מספר טלפון אין שום פעולה שמתבצעת. כמו שציינתי לעיל, המידע אינו עובר לשרתים שלנו והשאר רק על המכשיר ולא נעשה שום שימוש במידע שלא קשור לאפליקציה.
"3. אנחנו מאמינים בחופש הבחירה של המשתמש, ניתן אפשרות בהגדרות שלנו לתמוך ולאפשר זיהוי מהעתקה של מספרים, או לא לאפשר זאת. משתמש שיבחר שלא לאפשר לא ייעשה שום שימוש בקליפבורד".