Les apps LinkedIn et Reddit prises en flagrant délit d'espionnage de presse-papier 🆕
Après TikTok, c'est au tour de LinkedIn d'annoncer un changement dans le fonctionnement de son application mobile suite à la mise en ligne de la bêta d'iOS 14. Le développeur du portail de création de portfolio Urspace s'est rendu compte que sur son iPad Pro sous iPadOS 14, l'application LinkedIn copiait frénétiquement le contenu du presse-papier de son MacBook Pro, touche après touche.
LinkedIn is copying the contents of my clipboard every keystroke. IOS 14 allows users to see each paste notification.
— Don 𝘧𝘳𝘰𝘮 urspace.io (@DonCubed) July 2, 2020
I’m on an IPad Pro and it’s copying from the clipboard of my MacBook Pro.
Tik tok just got called out for this exact reason. pic.twitter.com/l6NIT8ixEF
Il s'agit d'une nouvelle fonction de sécurité d'iOS/iPadOS 14, qui prévient via une notification que l'application a récupéré le contenu du presse-papier, qu'il s'agisse du presse-papier local ou de celui d'iCloud (lire : iOS 14 : ces nouveautés qui protègent la vie privée de l'utilisateur). TikTok avait été pris la main dans le pot de confiture, expliquant que la collecte du presse-papier était une mesure visant à lutter contre le spam. L'application a promis de mettre un terme à ce comportement.
En ce qui concerne LinkedIn, Erran Berger, le vice-président de l'ingénierie a promis un correctif, en précisant que l'application ne stockait ni ne transmettait le contenu du presse-papier. À ZDnet, un porte-parole a confirmé qu'il s'agissait d'un bug et non d'un comportement voulu. Avec la bêta publique d'iOS 14 attendue ce mois puis la version finale cet automne, le nombre d'applications prises en flag' risque d'être assez important !
Mise à jour — Arf. C'est à une véritable épidémie de repompe de presse-papier à laquelle on va assister tout au long de l'été ! Après TikTok et LinkedIn, c'est au tour de Reddit, pris la main dans le sac, d'annoncer une prochaine mise à jour pour son application mobile. Elle aussi collecte le contenu du presse-papier, comme le montre les notifications sous iOS 14.
UPDATE: Seems like Reddit is capturing the clipboard on each keystroke as well 😕
— Don 𝘧𝘳𝘰𝘮 urspace.io (@DonCubed) July 2, 2020
Seeing the notification come up just as much. pic.twitter.com/nzbElmRG2a
Une mise à jour de l'app est programmée pour le 14 juillet.
C'est fou le nombre de "bug" qu'on peut trouver avec les nouvelles fonctions de confidentialité !
@fousfous
"C'est fou le nombre de "bug" qu'on peut trouver avec les nouvelles fonctions de confidentialité !"
En meme temps, c’est Microsoft, ils s’y connaissent 😅🤓
C'est fou le nombre de "bug" qu'on peut trouver avec les nouvelles fonctions de confidentialité !
C'est surtout à se demander à quoi sert la validation des apps par Apple qui a laissé passer tout ça par le passé...
@bibi81
« C'est surtout à se demander à quoi sert la validation des apps par Apple qui a laissé passer tout ça par le passé... »
Ça continue... ce n’est jamais Apple qui trouve ce genre de faille...
@pagaupa
Si Apple a eu l'idée de mettre une alerte dans iOS14 quand des apps copient le presse-papiers, c'est bien qu'ils savent que certaines (voire beaucoup) le font!
Donc ils savaient mais laissaient faire et puis tout à coup ils se disent, tiens on va dénoncer ces apps aux utilisateurs (sans toutefois leur donner le moyen de refuser cet accès au presse-papiers)
@r e m y
La dénonciation de cette faille ne leur appartient pas...
@bibi81
"C'est fou le nombre de "bug" qu'on peut trouver avec les nouvelles fonctions de confidentialité !
C'est surtout à se demander à quoi sert la validation des apps par Apple qui a laissé passer tout ça par le passé..."
Bah, ca peut etre utile dans qq cas quand on veut poster un article avec un URL dans le presse papiers. Pareil avec Chrome qui detecte un URL quand on va dans la barre d’adresse et qui propose de visiter l’adresse direct. Laisser le choix a l’utilisateur avec un systeme de notification la premiere fois reste toujours la meilleure solution.
@bibi81
Tout simplement parce que la validation passe par des règles connues à l’avance par les développeurs et que l’accès au presse papier n’est pas interdit... vu qu’il serait difficile de l’autoriser à certains mais pas à d’autres et pas aussi fréquemment pour certains et pas pour d’autres, il suffit de s’en remettre à l’utilisateur...
Les développeurs ont 3 mois pour se mettre en conformité puisqu’ils peuvent tester leurs apps sur la prochaine plateforme attendue en septembre...
3 mois c’est pas mal surtout que ça marche comme ça depuis quelques années, donc les devs le savent...
En effet, beaucoup de "bugs", c'est vraiment pas de chance. Ils nous diront bientôt qu'ils remercient Apple pour cette fonctionnalité qui leur a permis de détecter ces "bugs".
@
C’est un "bug" oui comme c’est un "déséquilibré" ont commencent à avoir l’habitude 😐
@R-APPLE-R
Tu veux le retour du pal et de la roue ? Juste de la guillotine ?
@Freitag
Vous n’avez visiblement pas compris ce que je viens de dire , ou alors votre réponse c’était du second degré 🙄
Je voulais simplement dire qu’ils nous prennent pour des imbéciles , Il faut appeler un chat un chat c’est tout .
Quelle rapport avec la guillotine et je ne sais quoi 😔
"Tu veux le retour du pal et de la roue ? Juste de la guillotine ?"
💭pfff.... des gamineries tout ces trucs là.... rien ne vaux le Berceau de judas, la Poire d’angoisse, l’Ane espagnol, la Vierge de fer et La fille du boueur... ça c’était des trucs vraiment drôles 💭
@Sindanárië
Le vierge de fer... que de bons souvenirs émouvants
@raoolito
« Le vierge de fer... que de bons souvenirs émouvants »
Oui, enfin, elle m’a fait vachement mal.
J’avais pas prévu le préservatif en titane, faut dire.
@R-APPLE-R
Oui oui "ont commencent"...
@ckermo80Dqy
Non non c’est Siri...
@R-APPLE-R
Par contre il vous manque toujours un Bescherelle
@KimoMac
Peut-être mais moi je paye un abonnement chez MacG , personne n’est parfait n’est-ce pas 😏
@KimoMac
« Par contre il vous manque toujours un Bescherelle »
Il en fallait bien un pour la faire! 😂
Oh la vache, ça conforte l’idee que j’ai avec mes TOC depuis des annees à copier un caractere (genre une lettre/symbole) a chaque fois que j’ai fini d’utiliser un copier/coller pour quoi que ce soit quelque part. #parano
@Paquito06
Hey, bien vue l’astuce ! Merci !
On se rend effectivement compte, merci à iOS14, que beaucoup d’apps sont affublées de « bug » qui n’ont d’autre intention que de nous espionner...
On risque en effet une « pandémie » de ce genre de bug dans les semaines à venir, au fur et à mesure que les v. beta vont se déployer.
@David Finder
“Hey, bien vue l’astuce ! Merci !”
👍🏼🤓
En fait je fais ca depuis toujours car je m’etais surpris un jour, de nombreuses annees il y a, à copier/coller un mot de passe quelque part, et j’me suis dit “omg, s’il y a un malandrin qui arrive à lire mon presse papier dans un logiciel ou sur une page web, c’est pas bon pour moi”. Et c’est resté. Puis j’ai ensuite vu “Ennemi d’Etat” et en tant que gamin, naïf et très lucide, ahah, je suis vite devenu parano avec la technologie. Voila voila. 😄
@Paquito06
Comme quoi la parano, associée à un film qui, il y’a 22 ans déjà, amène aujourd’hui à plus de sécurité !
Où comment la fiction d’autrefois devient réalité...
Pareil avec l’application TVTime :3
Bon que l’app lise le press papier c’est mouche mais ça ne veut pas dire que c’est envoyé sur leur serveur.
Bref au final avec iOS 14 et avant ça les notifications des apps qui utilisent le gps en fond sans rien dire, je trouve que iOS est bien et regarde bien a mettre la sécurité et la privatisation des données en priorité. Je n’ose même pas imaginer ça sur Android...
@33man
Là elle ne lit pas que le presse-papier seulement, elle s’en sert surtout pour copier/coller l’appui de l’utilisateur sur chaque touche de son Mac.
Et ça, c’est bien plus que louche justement.
@David Finder
Effectivement... me demande si c’est un framework que pas mal d’app utilisent qui fait ça. Sinon c’est effectivement niche si toutes ces apps ont codé une fonction pour copier le presse papier et les touches...
@33man
C’est trois lignes de code pour faire ça.
@Freitag
Ouais, ok. Donc pas des bug quoi ! CQFD
@33man
"Bon que l’app lise le press papier c’est mouche mais ça ne veut pas dire que c’est envoyé sur leur serveur."
Faut vraiment être naïf pour le penser.
Bien vu le flux de données que cela devrait générer, il faudrait être bête pour croire que c'est aussi simple que cela
J’ai le même comportement avec le client mail spark, mais uniquement dans le champ « objet » d’un mail.
@bax137
C’est pas mieux... Celui-là ne risque pas de devenir mon client mail par défaut sur iOS 14...
Après, ce n’est pas car une appli prend en mémoire le presse papier qu’elle l’utilise de manière négative. Comme pour le reste il faut voir dans quel but ces données sont récoltées ?
@DrStax
Elle doit l’utiliser quand on saisie du texte si je ne me trompe pas et rechercher 10000 fois dans le presse papier n’est pas normal
@DrStax
Non. Elles peuvent prendre le dernier mot copié, au cas-où une recherche serait lancée sur ce mot précis ensuite (comme le proposent Antidote et d’autres encore), mais certainement pas se servir du presse-papier comme d’un keylogger !! Car dans ce dernier cas, je ne vois pas à quoi peut leur servir la frappe de chaque touche du clavier, copiée frénétiquement, à part à nous la mettre bien profond (excusez le langage) !
Je sens vraiment que ça va être la foire avec cette nouvelle option sécurité d’iOS ! On risque de bien rigoler...jaune.
Hop. Désinstallée.
Il y a le même chose sur messenger sur iPad mais je ne le retrouve pas quand je l’utilise sur l’iPhone.
J’avais jamais fais attention mais avec lastpass votre presse papier est effacé toutes les 30 sec... ouf..
Merci Apple !
@gege971
Sauf que si c’est comme avec 1Password, et j’imagine que c’est le cas, Lastpass vide le presse-papier si un mot de passe a été copié avec Lastpass, rien de plus.
Elle ne tourne pas en boucle pour vider le presse-papier de tout mot copié, depuis n’importe quelle app, toutes les 30 secondes.
Je doute que ce soit possible de toute façon.
Donc tu n’es pas plus en sécurité parce que tu utilises Lastpass.
@David Finder
Ok merci pour la précision
@gege971
Vous utilisez une appli native pour Last pass ?
@David C.
Oui sur IOS
@gege971
Peux-tu partager le lien de l’application ?
@David C.
https://apps.apple.com/fr/app/lastpass-password-manager/id324613447
@gege971
Cool! Merci beaucoup !
Les achats in-app sont nécessaires ?
Pourquoi vous n’avez pas repris l’explication d’un développeur dans les commentaires de l’article sur Tiktok? ce comportement semble lié a un mauvais choix de commande dans le code
@PierreBondurant
J’abonde dans ton sens.
Je l’avais déjà signalé cela dans un précédent sujet sur le presse-papiers.
« Faut pas voir le mal partout.
C’est juste que leurs développeurs codent mal.
Et ce sont pas les seuls.
Voir
https://twitter.com/marcosickx/status/1276054601318498304?s=21 »
Et j’en profite pour rajouter un lien vers daringfireball
https://daringfireball.net/linked/2020/07/03/on-ios-apps-peeking-at-your...
Car le but de Macg est de faire du click, de l'argent. Et dire "oulala les méchantes app volent le contenu de votre presse-papier" ça fait du click, et donc des revenus publicitaires.
Pages