London, UK - July 31, 2018: The buttons of the app Reddit, surrounded by Pinterest, Whatsapp, and other apps on the screen of an iPhone.
stockcam via Getty Images

iOS 14ではプライバシー保護が強化されており、新たに「アプリがクリップボード(いわゆるコピペ内容)を読み取ると通知」機能が追加されています。先日も動画共有アプリTikTokが「キー入力があるたびにクリップボード読み取り」が可視化されたことを受けて、今後のアップデートで読むのを止めると約束しました

その後、海外掲示板Redditおよび世界最大のビジネス系SNSであるLinkedInのアプリも同様の挙動をしていることが報告され、両社とも弁明とともに読み取りを止める修正を行うと述べています。

この問題を報告したのは、いずれもLinkedinやGitHub等への投稿を1つにまとめるサービスUrspace.ioの共同創設者ドン・モートン氏です。

まず同氏は、LinkedInアプリがクリップボードの中味をコピーしている動画を投稿。MacとiOS/iPadOS機器を連携するユニバーサルクリップボードにより、モートン氏がキー入力するたびに「Linkedin paseted from another device(LinkedInが別のデバイス(Mac)からペーストしました)とのメッセージがポップアップしている様子が確認できます。

米ZDNetがLinkedInにコメントを求めたところ、広報担当者は「この挙動はバグであり、意図した動作ではない」とコメントしたとのことです。

それとは別にLinkedInのエンジニアリング担当副社長エラン・バーガー氏はモートン氏に直接語りかけており、「これはクリップボードの内容と、入力中のテキストの等値チェックをしているコードです」との趣旨を説明。その上で「クリップボード内容を保存したり送信することはありません」と釈明し、アプリの修正を行いしだいフォローアップすると約束しています。

そしてモートン氏はRedditアプリも、キー入力があるたびにクリップボードの中味をコピーしている挙動を捉えた動画をTwitterに投稿しています。

こちらはReddit広報担当者がThe Vergeに対して「ペーストボード(クリップボード)のURLをチェックし、URLのテキストコンテンツに基づいてタイトルを提案する投稿作成ツールのコードだと突き止めました」とメールで回答。そして「ペーストボードの内容は保存したり、送信したりしません。このコードを削除し、7月14日に修正プログラムをリリースします」と約束しています。

先日のTikTokを含めて、これらのアプリはクリップボードのデータを読み取っているにすぎず、ユーザーのキー入力そのものを取得しているわけではありません。よって直ちに脅威になるとは言えませんが、読み取りのタイミングによってはクリップボードに機密情報が含まれている可能性もゼロではないはず。クリップボード読み取りは必要な場合に限るにこしたことはなく、その意味でiOS 14の警告はアプリ開発者に自制を促し、ユーザーの安心感を高めることに貢献しそうです。

Source:ZDNet/The Verge