iOS 14ではプライバシー保護が強化されており、新たに「アプリがクリップボード(いわゆるコピペ内容)を読み取ると通知」機能が追加されています。先日も動画共有アプリTikTokが「キー入力があるたびにクリップボード読み取り」が可視化されたことを受けて、今後のアップデートで読むのを止めると約束しました。
その後、海外掲示板Redditおよび世界最大のビジネス系SNSであるLinkedInのアプリも同様の挙動をしていることが報告され、両社とも弁明とともに読み取りを止める修正を行うと述べています。
この問題を報告したのは、いずれもLinkedinやGitHub等への投稿を1つにまとめるサービスUrspace.ioの共同創設者ドン・モートン氏です。
まず同氏は、LinkedInアプリがクリップボードの中味をコピーしている動画を投稿。MacとiOS/iPadOS機器を連携するユニバーサルクリップボードにより、モートン氏がキー入力するたびに「Linkedin paseted from another device(LinkedInが別のデバイス(Mac)からペーストしました)とのメッセージがポップアップしている様子が確認できます。
LinkedIn is copying the contents of my clipboard every keystroke. IOS 14 allows users to see each paste notification.
— Don 𝘧𝘳𝘰𝘮 urspace.io (@DonCubed) July 2, 2020
I’m on an IPad Pro and it’s copying from the clipboard of my MacBook Pro.
Tik tok just got called out for this exact reason. pic.twitter.com/l6NIT8ixEF
米ZDNetがLinkedInにコメントを求めたところ、広報担当者は「この挙動はバグであり、意図した動作ではない」とコメントしたとのことです。
それとは別にLinkedInのエンジニアリング担当副社長エラン・バーガー氏はモートン氏に直接語りかけており、「これはクリップボードの内容と、入力中のテキストの等値チェックをしているコードです」との趣旨を説明。その上で「クリップボード内容を保存したり送信することはありません」と釈明し、アプリの修正を行いしだいフォローアップすると約束しています。
Hi @DonCubed. Appreciate you raising this. We've traced this to a code path that only does an equality check between the clipboard contents and the currently typed content in a text box. We don't store or transmit the clipboard contents.
— Erran Berger (@eberger45) July 3, 2020
そしてモートン氏はRedditアプリも、キー入力があるたびにクリップボードの中味をコピーしている挙動を捉えた動画をTwitterに投稿しています。
UPDATE: Seems like Reddit is capturing the clipboard on each keystroke as well 😕
— Don 𝘧𝘳𝘰𝘮 urspace.io (@DonCubed) July 2, 2020
Seeing the notification come up just as much. pic.twitter.com/nzbElmRG2a
こちらはReddit広報担当者がThe Vergeに対して「ペーストボード(クリップボード)のURLをチェックし、URLのテキストコンテンツに基づいてタイトルを提案する投稿作成ツールのコードだと突き止めました」とメールで回答。そして「ペーストボードの内容は保存したり、送信したりしません。このコードを削除し、7月14日に修正プログラムをリリースします」と約束しています。
先日のTikTokを含めて、これらのアプリはクリップボードのデータを読み取っているにすぎず、ユーザーのキー入力そのものを取得しているわけではありません。よって直ちに脅威になるとは言えませんが、読み取りのタイミングによってはクリップボードに機密情報が含まれている可能性もゼロではないはず。クリップボード読み取りは必要な場合に限るにこしたことはなく、その意味でiOS 14の警告はアプリ開発者に自制を促し、ユーザーの安心感を高めることに貢献しそうです。