Is het een datalek als een app het bsn van je clipboard uitleest?

Via Twitter:

Zeg @albertheijn, @Marktplaats en @NUnl. Waarom willen jullie zo graag alles wat ik gekopieerd heb lezen? Inclusief dingen als IBAN nummers, wachtwoorden of persoonsgegevens. Klinkt als iets voor de autoriteit persoonsgegevens.

Er blijken nog veel meer apps te zijn die het clipboard uitlezen als je ze activeert. De vraagsteller kwam erachter omdat zijn nieuwe versie van iOS een melding toont wanneer een app het clipboard uitleest, maar het is volgens mij geen nieuwe feature op zich dat apps dit doen.

Ik heb zelf Android maar weet dat er de nodige apps zijn die dit doen omdat ze dan actie kunnen ondernemen: als ik een track&trace code op het clipboard plaats, biedt de PostNL app vervolgens aan om de zending na te zoeken. Kopieer ik een e-mailadres, dan stelt mijn mailapp voor om een bericht daarheen te schrijven. Andere apps herkennen URLs die van hun eigen dienst zijn, en openen dan bijvoorbeeld een productpagina of bestelformulier. Best handig, en slim om dat via het clipboard te doen want zo kun je vanuit elke applicatie een actie initiëren richting een andere.

Als je als app het clipboard gaat uitlezen, dan neem je inderdaad een risico dat daar een wachtwoord op staat – of zoals de vraagsteller suggereert, een burgerservicenummer. Of andere persoonsgegevens, denk aan een gekopieerd mailtje met een schuldbekentenis of verzin zelf wat dramatisch. Dan staat je app dus persoonsgegevens te verwerken terwijl dat buiten de opdracht viel, want wat moet PostNL met mijn bsn of die schuldbekentenis?

Daar staat tegenover dat die app volgens mij niet meer doet dan “if clipboard matches /3S.*/ then zoekZending else nop endif” zodat ik de term ‘verwerken van persoonsgegevens’ een tikje grootsprakerig vind. Helemaal omdat de app geen invloed heeft op wát er op het clipboard staat.

Maar ik kan niet ontkennen dat er enige ophef is over het fenomeen, want ook apps als TikTok blijken het clipboard uit te lezen:

In March, researchers uncovered a troubling privacy grab by more than four dozen iOS apps including TikTok, the Chinese-owned social media and video-sharing phenomenon that has taken the Internet by storm. Despite TikTok vowing to curb the practice, it continues to access some of Apple users’ most sensitive data, which can include passwords, cryptocurrency wallet addresses, account-reset links, and personal messages. Another 53 apps identified in March haven’t stopped either.

Met name was de ophef omdat na maart de ontwikkelaar van TikTok had gezegd dat ze hiermee zouden stoppen, terwijl dat dus niet het geval bleek te zijn. Oh én omdat de app niet eenmalig bij het opstarten keek wat er op het clipboard stond maar dit deed na ieder leesteken of spatie die je intypte. TikTok zegt dat dit is om spam te voorkomen, wie weet hoe dat een reële maatregel is, zeg het even in de comments alsjeblieft.

Algemeen zou ik dus zeggen dat een app géén datalek is omdat ze het clipboard kunnen uitlezen en dan per ongeluk persoonsgegevens te pakken krijgen, zolang de app maar niets doet met gegevens die niet voor haar bestemd zijn. Ik kan me geen app voorstellen die een bsn nodig heeft (oké, misschien de declaratie-app van een zorgverzekeraar) en dan is het in theorie handig dat je dat nummer kunt selecteren uit je Evernote, OneNote of Google Keep en dat de app dat getal herkent en in het juiste veld invult. Maar andere apps zouden dat gegeven alleen mogen bekijken om te constateren dat het niet voor hen is, en dan vrolijk verder draaien. Doen ze meer, al is het maar “uploaden voor kwaliteitsdoeleinden”, dan is dat wél een datalek.

Arnoud

16 reacties

  1. Is het grote probleem in deze niet dat het volledig ondoorzichtig is wat de app precies met de gegevens op het clipboard doet? Jij denkt dat de app niet meer doet als “if clipboard matches /3S.*/ then zoekZending else nop endif”, en dat zal wellicht ook best zo zijn. Maar hoe verifieer je dat?

  2. Hmm, clipboard uitlezen komt mij over als: je bent aan het onderhandelen over een prijs en je laat je open portemonnee zien, zoals dat bij kassa’s zo vaak gebeurd.

    Wedden dat de tegenpartij daar rekening mee houd?

    Extreem ongewenst, onbeschoft ook

  3. TikTok zegt dat dit is om spam te voorkomen, wie weet hoe dat een reële maatregel is, zeg het even in de comments alsjeblieft.
    Spamscripts maken vaak gebruik van copy/paste om teksten in een applicatie te posten. Zowel het regelmatig checken van het clipboard (om zo te detecteren of de ingevoerde tekst via het clipboard is gegaan) als het bekijken van de timing van toetsaanslagen zou inderdaad onderdeel kunnen uitmaken van een anti-spam policy filter.

    Of dat ook proportioneel is laat ik in het midden. Aan de andere kant, als het alleen maar (lokaal) vergelijken is met de gemaakte post dan is er inderdaad nauwelijks sprake van verwerking.

  4. Het lijkt me veel beter als in de privacyverklaring duidelijk moet worden aangegeven of gegevens lokaal blijven of de cloud ingaan. En bij het geven van permissions ook. En dat het misleiden van gebruikers beboet wordt. Kan een bedrijf als Google of Apple eigenlijk boetes opnemen in de voorwaarden voor de appstore?

    Het is toch wat raar als we een stukje software, die wat doet met persoonsgegevens, altijd zien als een verwerking. Moet wel iets van intentie bij komen kijken, lijkt me. Of dat het de cloud ingaat. Want dan ben je dingen aan het versturen.

  5. Dit zou toch veel verder moeten gaan dan de vraag over een datalek? Dit gaat over schendingen van privacy. Met name als (nee, wanneer) deze gegevens geüpload worden. Maar ook als dit niet wordt geüpload. En het hoeft natuurlijk niet om persoonsgegevens te gaan, wil je een schending van je privacy hebben. Ik wil gewoon niet ge-retarget te worden voor hondenvoer, omdat ik mijn werkstuk over Bella in mijn clipboard had. Of continue reclame over wanhopige buurvrouwen zien, omdat ik een pornhub linkje bewaarde.

    Ik vind het naief om te denken dat het vast niet wordt geüpload, alleen omdat het niet wordt benoemd door een app. Vaak worden dit soort dingen pas ontdekt als het al jaren gebeurt. Net zoals bijvoorbeeld de Google auto’s die zonder melding vooraf SSID’s op gingen slaan. Het is net zo verwerpelijk als dat een app op de pc lukraak willekeurige bestanden van de schijf gaat scannen. (Om ongevraagd de integriteit van de schijf te testen, natuurlijk.)

    Apps en bedrijven die dit doen, zouden aan te pakken moeten zijn op generieke privacy wetten, als je het mij vraagt.

  6. Dan staat je app dus persoonsgegevens te verwerken terwijl dat buiten de opdracht viel

    Nou, dat weet ik zo net nog niet. Dat er iets wordt verwerkt is duidelijk, maar het zijn pas persoonsgegevens als die voor de verwerker herleidbaar (kunnen) zijn naar een natuurlijk persoon. Zolang de app van de ontwikkelaar feitelijk alleen die gegevens binnenhaalt die binnen de opdracht vallen kan er geen sprake zijn van een verwerking van persoonsgegevens, aangezien de verwerker dan feitelijk geen toegang tot iets anders heeft. In een dergelijk geval kan de verwerker dan ook onder geen enkele omstandigheid, zelfs niet theoretisch, de overige gegevens op het clipboard herleiden tot een persoon.

    Natuurlijk kan het zijn dat de app het gehele clipboard binnenhaalt of anderszins beschikbaar stelt. Zeker met onze Chinese kuch onfeilbare kuch collega’s in het spel is dat geen ondenkbaar risico. Dat maakt het concept an sich alleen nog niet onrechtmatig, zeker niet mits correct uitgevoerd.

    1. Een smartphone heeft (over het algemeen) een gebruiker en dat is een natuurlijk persoon. Daarmee wordt die inhoud van het clipboard heel makkelijk te correleren aan die ene natuurlijke persoon en daarmee een persoonsgegeven.

      Zolang de verwerking van dat gegeven lokaal op de telefoon blijft zie ik geen (privacy-) schade. Maar bij centrale verwerking en opslag is die schade er wel.

  7. Door een vriend werd ik gewezen op deze post over mijn tweet, en ik wilde dan ook even wat duidelijk maken over waarom ik de tweets geplaatst heb.

    Het inderdaad zo dat er voldoende applicaties zijn die iets doen met het clipboard, wat in het voordeel werkt van de user. De ING en bunq app bieden aan om geld over te maken als er een IBAN op je clipboard staat. PostNL, Parcel en Deliveries bieden aan om een pakket toe te voegen zodra ze een tracking code zien. Daarom heb ik deze apps ook niet vermeld, het gaat in de tweets alleen om apps die gebruik maken van het systeem clipboard, zonder dit visueel te maken aan de user en dit zonder toestemming van de gebruiker doen.

    Wat voor mij al helemaal vreemd was, is dat apps als Facebook. Snapchat en Google Maps het clipboard niet uitlezen. Terwijl dit vaak de apps zijn die de meeste tracking doen.

    Overigens heb ik dit aan Albert Heijn en Nu.nl gemeld toen ik de vondst heb gedaan. Beide hebben reactie gegeven er mee bezig te zijn. Albert Heijn heeft het in de update van vandaag (2 juli) dan ook verwijdert, de app leest het clipboard dan ook niet meer uit.

    Je noemt ook de situatie van een URL op het clipboard uitlezen en deze openen in app. Dit is iets wat op iOS nauwelijks gebeurt en zeker niet in grotere applicaties. Hiervoor zijn systemen als “Universal Links”, “Smart App Banners” en “Custom URL Schemes” om de app te openen met een URL.

  8. In aanvulling op Arnoud: ik ken enkel apps die het clipboard uitlezen op het moment dat het relevant is. Dus pas als ik in de bankieren-app iets wil overmaken, krijg ik de melding “je hebt een IBAN in je clipboard, wil je toevallig daar geld aan overmaken?” Wat uiteraard niet wegneemt dat ze dat clipboard al eerder uitgelezen kunnen hebben, maar dat is hoe het gepresenteerd wordt.

  9. Iedereen heeft het maar over de apps die fout zijn, maar hoe zit het eigenlijk met het OS wat toestaat dat het clipboard uberhaupt uitgelezen kan worden? Is dat niet het eigenlijke probleem?

    Wat is er mis met ‘PASTE’ op het moment dat het nodig is? Dat heb ik als gebruiker dan helemaal zelf in de hand, en als het OS er voor zorgt dat alleen dan het clipboard beschikbaar komt, dan kan ik daar als app developer op voorhand simpelweg helemaal niet bij (hoe gebruiksvriendelijk dat misschien ook zou kunnen zijn)

      1. Lijkt me simpelweg een kwestie van authorisaties aan de app geven. En dan niet dat zielige ‘alles vragen bij installeren’ maar gewoon op het moment dat het voor het eerst gebeurt, en ook gewoon kunnen blokkeren (inplaats van verplicht accepteren bij de installatie anders installeert ie niet).

  10. Else NOP is leeg en van nul en generlei waarde. Dus het omitteren van deze beslistak en bijbehorende instructie voegt zelfs in negatieve zin niets toe.

    Korter: kan weg.

    Maar hier natuurlijk om te benadrukken dat hij alleen iets doet als dat zinvol en relevant is, en anders helemaal niks. Dus toch functioneel. Maar de programmeur in mij, met KISS-mentaliteit, ging even steigeren. Of stijgeren, dat kan ik nooit onthouden.

  11. By design, dus geen datalek maar wellicht een onrechtmatige verwerking. Vraag nog is wie de controller is. Op je eigen telefoon ben je dat vaak zelf, en is daarnaast de huishoudelijke exceptie ook van toepassing.

  12. Ik ben wel van de omkeermetafoor: Het klembord laat zien waar ik mee bezig ben. Zou PostNl het een goed idee vinden als ik camera’s ophang om op al hun schermen mee te lezen? ik kan dan zien waar PostNl mee bezig is. Als mijn track and trace code dan voorbijkomt kan ik meteen een e-mail sturen dat het om mijn poststuk gaat. Handig voor Post NL, dan hoeven ze de database niet te raadplegen…

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.