כמעט כל מה שאנחנו כותבים בטלפון עובד דרך הקליפבורד (לוח העתקה) של מערכת ההפעלה: סיסמאות, מספרי חשבונות בנק, כרטיסי אשראי, מסרים אישיים. העדכון (בטא) החדש שפרסמה אפל למערכת IOS 14 של האייפון והאייפד חשף לעיני כל ששורה ארוכה של חברות בולשות אחר המידע הזה ללא ידיעתנו ומעתיקות את הטקסט מדי שלוש או ארבע הקשות. זה נחשף במכשירי אייפון, אבל אפשר להניח שזה קורה ממש באותה דרך במכשירי אנדרואיד.
הגילוי האחרון הוא, שרשת לינקדאין המעונבת של מיקרוסופט מפשפשת בקליפבורד של מנוייה. הגולש דון מורטון צייץ בטוויטר שגילה את העובדה הזו בעקבות עדכון מערכת ההפעלה, וצירף צילום מסך של הקשות המקלדת שלו שנשלפו על ידי לינקדאין.
1 צפייה בגלריה
אייפון IOS14אייפון IOS14
IOS14 - הריגול נחשף באקראי
(צילום: Shutterstock)
קצת לפני כן נחשפה התנהגות דומה מצד אפליקציית טיק טוק ואתר רדיט (Reddit), שעוקבים בצורה כזו אחר התכתובות של המנויים בלי לתת להם דין וחשבון. התנהגות דומה התגלתה באפליקציית מזג האוויר AccuWeather שיש לה היסטוריה בתחום המעקב אחר המשתמשים ואפליקציית הקניות הסינית AliExpress. אחת השאלות שעלו בדיונים סוערים ברשת, היא האם גם אפליקציות לשמירת סיסמאות, שמתגאות בהגנת המידע, חשופות לריגול הקליפבורד, שאלה שטרם קיבלה מענה.
הבעיה העיקרית בתופעה שנחשפת כעת היא שהגישה ללוח ההעתקה פתוחה בפני כל אפליקציה, מבלי שנדרש אישור של המשתמש. זאת לעומת גישה לנתונים כמו מיקום או מצלמה, שהמשתמש מתבקש לאשר את העברת המידע אליהם. המטרה של הקליפבורד היא לאפשר העברת טקסטים בין אפליקציה אחת לשנייה, למשל העתקת טקסט מוואטסאפ ללוח השנה. יכול להיות שמפתחי מערכת ההפעלה לא העלו על דעתם שיהיו אפליקציות שיעשו בתכונה הזו שימוש לרעה? מורטון טוען שהתכונה הלא-מדווחת הזו הזו מסכנת את פרטיותנו ואת המידע שלנו אפילו יותר מתוכנות פישינג זדוניות.
בעקבות התהודה ברשתות לגילוי הזה, הגיב ערן ברגר מלינקדאין בציוץ משלו בטוויטר: "מעריך את זה שהעלית את הנושא. אנחנו עוקבים אחר הקליפבורד רק לצורך השוואה בין הקליפבורד לבין הטקסט שמוקלד בתיבת הטקסט. אנחנו לא מאחסנים או משדרים את תוכן הקליפבורד". ברגר צירף קוד מתוך גיטהאב של מיקרוסופט להוכחת דבריו, אלא שזה כמובן אינו מהווה הוכחה לכך שלינקדאין אינה משתמשת בטקסט בקליפבורד במקרים אחרים.
חברת טיקטוק הגיבה בהסבר שהשימוש במידע מתוך הקליפבורד נועד למנוע שליחת ספאם ברשת, והוא פועל בצד של יוצר הספאם ולא של הקורבנות שלו. האם מדובר בצנזורה או שמא מעקב מרחוק מטעם החברה, שבבעלות ByteDance הסינית? קשה לדעת. החברה הבטיחה שתסיר את התכונה זו וציינה כי היא אינה קיימת כלל במכשירי אנדרואיד.
מילא שתי אלה, אבל איך אפשר להסביר שרדיט, הבית של הגיקים וההייטקיסטים, מרגלת אחרי הקליפבורד שלהם? ובכן, החברה שנתפסה על חם בזכות העדכון החדש של IOS 14, אומרת כי השימוש היחיד שעשתה בתוכן הקליפבורד היה כדי לזהות כתובות אינטרנט (URL) ולהציג למשתמש הצעה לכותרת לפוסט, בהתאם לתוכן הדף. אם זה לא ריגול אחר מנהגי הגלישה שלנו, מה כן?