Video-App

TikTok liest aus, was Menschen auf dem iPhone in die Zwischenablage kopiert haben

Die Video-App TikTok fragt auf dem iPhone aggressiv den Zwischenspeicher der Nutzer:innen ab. In diesem können sensible Informationen wie Passwörter sein.

Smartphone in einer Hand, App TikTok geöffnet
Alle ein bis drei Tastenanschläge schaut TikTok, was Nutzer:innen in ihre Zwischenablage kopiert haben. Gemeinfrei-ähnlich freigegeben durch unsplash.com Aaron Weiss

TikTok liest bei iPhone-Nutzer:innen in sehr kurzen Abständen die Inhalte aus, die Nutzer:innen der App in ihre Zwischenablage kopiert haben. Das können private Nachrichten sein, Links oder auch Passwörter. Auf die Gefährlichkeit des Auslesens des Clipboards hatten Sicherheitsforscher schon im Februar dieses Jahres hingewiesen, im März berichteten sie, dass auch TikTok diese Daten auslese.

Das Unternehmen begründete die Praxis damals gegenüber Forbes mit einem veralteten Software Development Kit (SDK) von Google, das bald ausgetauscht werde.

Nun fiel Beta-Testern der neuen iPhone-Betriebssystem-Version iOS 14 auf, dass das Clipboard weiterhin von TikTok ausgelesen wird – und das in sehr kurzen Abständen, nämlich alle ein bis drei Tastaturanschläge. Über das Auslesen des Clipboards könnten sensible, private und sicherheitsrelevante Informationen wie Kommunikationen, Accountdaten und Passwörter abfließen.

Sensible Daten im Zwischenspeicher

Warum liest die App diese potentiell so sensiblen Informationen weiter aus? Von der veralteten Google-Software ist nun keine Rede mehr. Stattdessen begründet TikTok das Auslesen jetzt mit der Bekämpfung von Spamverhalten. Die App lese das Clipboard aus, um Spam und doppelte Kommentare zu reduzieren, sagt eine Sprecherin gegenüber netzpolitik.org. Dabei vergleiche TikTok den Text einer Benutzereingabe, wie etwa eines Kommentars, mit dem Inhalt der Zwischenablage, während der Benutzer seinen Kommentar verfasst. Bei dieser Methode seien laut TikTok niemals Inhalte aus der Zwischenablage gespeichert oder an die TikTok-Server gesendet worden.

TikTok ist nicht die einzige App, welche das Clipboard ausliest. Nach Informationen von The Telegraph lesen auch AccuWeather, Overstock, AliExpress, Call of Duty Mobile, Patreon und Google News die Zwischenablage aus. Sie tun dies jedes Mal, wenn eine Nutzerin in die App wechselt, nicht jedoch so häufig und aggressiv wie TikTok.

Mittlerweile hat TikTok angekündigt, es habe schon eine neue Version beim App-Store eingereicht, um dieses Verhalten aus der App zu entfernen.

Du möchtest mehr kritische Berichterstattung?

Unsere Arbeit bei netzpolitik.org wird fast ausschließlich durch freiwillige Spenden unserer Leserinnen und Leser finanziert. Das ermöglicht uns mit einer Redaktion von derzeit 15 Menschen viele wichtige Themen und Debatten einer digitalen Gesellschaft journalistisch zu bearbeiten. Mit Deiner Unterstützung können wir noch mehr aufklären, viel öfter investigativ recherchieren, mehr Hintergründe liefern - und noch stärker digitale Grundrechte verteidigen!

 

Unterstütze auch Du unsere Arbeit jetzt mit deiner Spende.

4 Ergänzungen
  1. Betrifft das bei den anderen genannten Apps Android? Gibt es dafüt eine Berechtigung, die Apps anfordern müssen oder kann das eine installierte App einfach so im Hintergrund?

  2. So wie sich TicTok heimlich die von IPhone-Nutzern angelegten Zwischenablagen anderer Apps kopiert, so kopieren sich praktisch alle großen und kleinen Datenkapitalisten wie Google, FaceBook, Twitter, Zoom etc. heimlich und illegal Daten von Nutzern.
    Ich frage mich, wer dagegen klagt!

  3. Das Konzept, dass Apps oder auch nur Programme die Zwischenablage aktiv ohne Benutzerinteraktion auslesen können, ist verrückt.

    Wenn ohne Interaktion ausgelesen werden dürfen soll, dann bitte nur wenn die Zwischenablgae so befüllt wurde, dass auslesen erlaubt ist, mit von-nach Berechtigungen. D.h. also auf Basis von explizit vergebenen Berechtigungen, mit Interaktion und Freigabe an anderer Stelle. Zudem sollten kommerzielle OS-Hersteller verpflichtet werden, Rückruflisten für solche aber auch alle anderen Berechtigungen verteilen zu müssen, und aktiv zu pflegen. So kann es Warnlevels geben, was mehr oder weniger problematisches Apps verbrochen haben, und eben nicht das dumme Kreuz von vor ein paar Jahren auf ewig alles bestimmt.

    Benutzer sollen dumm und unfähig sein, und die Daten sollen herumfliegen. Dann kann man die Daten auch kaufen und verknüpfen. Daher wird sich nichts ändern, solange man nicht bereit ist, Ge- und Verbote auszusprechen, und – von China lernen! – Unternehmen komplett bei Weigerung zur Mitwirkung vom Netz oder auch vom Markt zu zwingen.

  4. Vielen Dank für diesen Artikel!!!
    Er macht deutlich, was das wirkliche Problem ist.
    Der ((Ben/)N)utzer hat schon lange die Hoheit über seine Daten verloren.

    Mehr noch!: Der Benutzer sammelt Daten von Dritten für andere Dritte und zusätzlich für Drittanbieter (z.B. TikTok)!
    Häh?! – Bahnhof?

    Dann mal unkonventionell: Jeder Zählerableser, jeder Installateur, der hier mit seinem (durchaus auch privaten) Smartphone mal ganz schnell Fotos macht, die über die Zwischenablage den Weg in das Unternehmensnetz finden sollen, werden also auch gerne von (Hier selbst eintragen) verwertet.

    Damit stellt sich wiederholt die Frage nach der Verwehrung des Zugangs zu privatem Grund für Nutzer von nicht kontrollierbaren Endgeräten.
    Es gibt Nicht-Betrieblich-Angehörige, die für Versorgungsunternehmen die Zählerstände fotographisch erfassen bzw. dazu auffordern sich die Zählerstände von den Nutzern unter Angabe der Zählernummer(n) per Whatsapp(!) übermitteln zu lassen.
    Die Erklärung zu Art6 DSGVO der betroffenen Unternehmen dazu würde mich besonders interessieren.
    Bekommt der Kunde nicht. „Wir haben keine Daten von ihnen“
    MIt dem Segen der LfD.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.