Zeg @albertheijn, @Marktplaats en @NUnl. Waarom willen jullie zo graag alles wat ik gekopieerd heb lezen? Inclusief dingen als IBAN nummers, wachtwoorden of persoonsgegevens. Klinkt als iets voor de autoriteit persoonsgegevens.
Er blijken nog veel meer apps te zijn die het clipboard uitlezen als je ze activeert. De vraagsteller kwam erachter omdat zijn nieuwe versie van iOS een melding toont wanneer een app het clipboard uitleest, maar het is volgens mij geen nieuwe feature op zich dat apps dit doen.
Ik heb zelf Android maar weet dat er de nodige apps zijn die dit doen omdat ze dan actie kunnen ondernemen: als ik een track&trace code op het clipboard plaats, biedt de PostNL app vervolgens aan om de zending na te zoeken. Kopieer ik een e-mailadres, dan stelt mijn mailapp voor om een bericht daarheen te schrijven. Andere apps herkennen URLs die van hun eigen dienst zijn, en openen dan bijvoorbeeld een productpagina of bestelformulier. Best handig, en slim om dat via het clipboard te doen want zo kun je vanuit elke applicatie een actie initiëren richting een andere.
Als je als app het clipboard gaat uitlezen, dan neem je inderdaad een risico dat daar een wachtwoord op staat – of zoals de vraagsteller suggereert, een burgerservicenummer. Of andere persoonsgegevens, denk aan een gekopieerd mailtje met een schuldbekentenis of verzin zelf wat dramatisch. Dan staat je app dus persoonsgegevens te verwerken terwijl dat buiten de opdracht viel, want wat moet PostNL met mijn bsn of die schuldbekentenis?
Daar staat tegenover dat die app volgens mij niet meer doet dan “if clipboard matches /3S.*/ then zoekZending else nop endif” zodat ik de term ‘verwerken van persoonsgegevens’ een tikje grootsprakerig vind. Helemaal omdat de app geen invloed heeft op wát er op het clipboard staat.
Maar ik kan niet ontkennen dat er enige ophef is over het fenomeen, want ook apps als TikTok blijken het clipboard uit te lezen:
In March, researchers uncovered a troubling privacy grab by more than four dozen iOS apps including TikTok, the Chinese-owned social media and video-sharing phenomenon that has taken the Internet by storm. Despite TikTok vowing to curb the practice, it continues to access some of Apple users’ most sensitive data, which can include passwords, cryptocurrency wallet addresses, account-reset links, and personal messages. Another 53 apps identified in March haven’t stopped either.
Met name was de ophef omdat na maart de ontwikkelaar van TikTok had gezegd dat ze hiermee zouden stoppen, terwijl dat dus niet het geval bleek te zijn. Oh én omdat de app niet eenmalig bij het opstarten keek wat er op het clipboard stond maar dit deed na ieder leesteken of spatie die je intypte. TikTok zegt dat dit is om spam te voorkomen, wie weet hoe dat een reële maatregel is, zeg het even in de comments alsjeblieft.
Algemeen zou ik dus zeggen dat een app géén datalek is omdat ze het clipboard kunnen uitlezen en dan per ongeluk persoonsgegevens te pakken krijgen, zolang de app maar niets doet met gegevens die niet voor haar bestemd zijn. Ik kan me geen app voorstellen die een bsn nodig heeft (oké, misschien de declaratie-app van een zorgverzekeraar) en dan is het in theorie handig dat je dat nummer kunt selecteren uit je Evernote, OneNote of Google Keep en dat de app dat getal herkent en in het juiste veld invult. Maar andere apps zouden dat gegeven alleen mogen bekijken om te constateren dat het niet voor hen is, en dan vrolijk verder draaien. Doen ze meer, al is het maar “uploaden voor kwaliteitsdoeleinden”, dan is dat wél een datalek.
Arnoud
