スマートフォンでのコピー&ペーストはあまりにも自動的なので、私たちはほとんど意識しません。しかし、そのたびに、その情報は機密性の高い場所、つまりクリップボードを通過します。そしてそこから、 他のアプリケーションが、コピーした内容を「スヌープ」する可能性もあります。単純なテキストからパスワード、2FA コード、銀行の詳細まで、Android と iOS の両方に、このような事態が発生したときに通知するアラートとツールが組み込まれています。
最新バージョンのモバイル オペレーティング システムでは、この目的のためにインジケーター、アクセス履歴、プライバシー機能が追加されています。 アプリがあなたの許可なくクリップボード、カメラ、マイク、その他の機密性の高い権限にアクセスしているかどうかを知るこれらがどのように機能するのか、その限界は何か、そして自分自身をよりよく保護するために何ができるのかを詳しく見ていきましょう。
クリップボードはなぜプライバシーにそれほど敏感なのでしょうか?
携帯電話でテキスト、写真、カード番号などをコピーすると、その内容はクリップボードと呼ばれるシステムの共有領域に保存され、 クリップボードにアクセスできるアプリであれば、クリップボードに残っているコンテンツを読み取ることができます。カメラや位置情報のように特別な許可を与える必要がないため、風変わりなアプリやデザインが悪いアプリにとっては非常に魅力的なオプションとなります。
長年にわたり、AndroidとiOSでは、 アプリケーションは、ユーザーが気付かないうちにクリップボードを「見る」ことができます。開いている時や他の用途で使用中であっても、クリップボードへの書き込みは行われていました。このことがきっかけで、あらゆる種類のアプリ(ソーシャルネットワーク、天気アプリ、新聞、オンラインストアなど)がクリップボードを必要以上に頻繁に読み込んでいたことが発覚し、注目を集める事件が起こりました。
ここでの問題は技術的な問題だけではなく、コピーするデータの種類にも関係しています。これはよくあることです。 パスワード、SMS認証コード、カード番号、または住所全体をコピーする悪質なアプリがそこにアクセスした場合、ユーザーを追跡したり、最悪の場合、詐欺を働いたりするのに非常に貴重な情報が得られます。
クリップボード アクセスに関して、iOS と Android では何が変わりましたか?
AppleはiOS 14で最初に大胆な動きを見せた。 アプリケーションがクリップボードにアクセスするたびに、システムは画面上に通知を表示します。このシンプルなメッセージは、TikTok などのアプリ、大手メディア、さらには一部のオンライン ストアまでもが、隠す気もなく喜び勇んでクリップボードの内容を読んでいたことを明らかにしました。
この措置の影響を見て、Googleも同じ方向に進むことを決定しました。Android 12以降にはプライバシー設定が追加され、有効にすると、 アプリがクリップボードにコピーしたテキスト、画像、その他のコンテンツにアクセスすると、携帯電話から通知が届きます。考え方は同じです。つまり、どのアプリが不適切な場所に介入しているのかをユーザーが確認できるようにすることです。
さらに、Android 自体では、バージョンに応じてクリップボードへのアクセスがますます困難になっています。 Android 10 以降では、バックグラウンド アプリはフォアグラウンド アプリのクリップボードの内容を簡単に読み取ることができなくなりました。これにより、画面に表示されないプロセスからのサイレント攻撃が大幅に減少します。
実際の事例: クリップボードを「スヌープ」するアプリ
iOS 14のTikTokの例はよく知られている。システム通知で、 アプリは常にクリップボードをチェックしていたスパムや不審な行動を検知するためのものとされていたが、実際には一般的なユーザーが想像するよりもはるかに多くの情報を収集していた。論争を受けて、同社はこの慣行を迅速に変更する必要に迫られた。
AccuWeatherのような他のアプリ、ニューヨークタイムズやウォールストリートジャーナルのような主要メディア、AliExpressのようなeコマース大手でも同じことが起こっている。 警告なしにクリップボードにアクセスしているところを発見されました。いくつかのケースでは技術的な正当性がありましたが、他のケースではそれは明らかな信頼の侵害でした。
パターンは明らかです。システム通知がなければユーザーは何も知りません。通知があれば、 アプリは、そのアクセスを正当化するか、アクセスをやめるように圧力をかけられます。 世間のスキャンダルを避けるため。たとえ小さな看板を掲げるだけでも、透明性は非常に効果的な抑止力となります。
Android でアプリがクリップボードにアクセスしているかどうかを確認する方法
Androidでは、状況はシステムのバージョンによって大きく異なります。それでも、誰が何にアクセスできるかを把握するために、複数の保護層とログ記録機能について理解しておく価値があります。
Android 12 以降のクリップボード アクセス通知
Android 12からは、システムをプライバシー保護するオプションが追加されました。 アプリケーションがクリップボードにアクセスしたときに小さな通知を表示しますこれは、アプリがカメラやマイクを使用するときに表示される通知に似ていますが、この場合はコピーしたコンテンツを参照します。
通常のルート(ブランドによって多少異なる場合があります)は次のようになります。 設定 > プライバシー > クリップボードへのアクセスを表示有効にすると、アプリがクリップボードを読み取るたびに、どのアプリケーションが読み取ったかを示すメッセージが画面上部に数秒間表示されます。
重要なニュアンスがあります。例えば、 Gboardキーボード 通常、これらの警告は免除されますこれはシステム自体が基本的な機能を実行するためにクリップボードを読み取る必要があるためです。これらの通知が煩わしい場合は、同じメニューから無効にすることができますが、その場合、透明性は失われます。
Android バージョンの制限と古いバージョンでのリスク
Android 9 以前では、シナリオはかなり危険でした。 バックグラウンドで実行されているアプリは、フォアグラウンド アプリに関連付けられたクリップボードを読み取ることができます。制限なく、気づかないうちに。古いバージョンを使い続けていると、リスクはさらに高まります。
Android 10では重要な変更が導入され、バックグラウンドプロセスからのクリップボードへのアクセスが制限されるようになりました。 アクティブに使用していないアプリが、別のアプリでコピーした内容をスパイすることを防ぎます。Android 13 では、一定時間後にクリップボードの内容が自動的に削除される機能が追加され、データが公開される期間が短縮されます。
開発者向けに、Androidはコピーされたコンテンツに適用できる特別なウォーターマークも提供しています。 ClipDescription.EXTRA_IS_SENSITIVE または android.content.extra.IS_SENSITIVEこの機能により、システムとキーボードはクリップボード上のテキストプレビューを非表示にすることができます。アプリが機密性の高いデータ(銀行情報、2段階認証コード、パスワードなど)を扱う場合、他のユーザーが簡単に閲覧できないように、そのコンテンツをこのようにマークする必要があります。
Android で許可履歴を活用するにはどうすればよいですか?
Androidの権限履歴は主にカメラ、マイク、位置情報などの権限に焦点を当てていますが、ユーザーの行動を大まかに示す指標としても役立ちます。最近の多くのAndroidスキンでは、 設定 > セキュリティとプライバシー > プライバシー > すべての権限を表示 どのアプリがいつ各権限にアクセスしたかを確認します。
そのパネルには、2つのメインビューが表示されます。許可の種類(カメラ、マイク、連絡先など)別にソートされたリストと、 アプリケーション別に、各アプリが使用した内容を確認できます。クリップボードは従来の権限として管理されていませんが、アプリがすでに他の権限で疑わしい動作をしていることがわかった場合、コピーして貼り付けた内容に対しても何を行っているのか疑わしいと考えるのは当然です。
奇妙なアクセス(例えば、ゲームが理由もなくカメラや連絡先を要求したり、懐中電灯アプリが不合理な権限リストを持っているなど)を検知した場合、賢明な対応は 意味をなさないものは取り消し、アプリのアンインストールも検討しましょうアプリケーションの権限が少ないほど、不正な動作をした場合の被害が少なくなります。
一部のAndroidデバイスの権限モニターと追加レイヤー
メーカーによっては独自のツールを追加しているところもあります。例えば、一部のSamsungのスマートフォンでは バックグラウンドアプリが特定の権限を使用しようとしたときに警告する「アプリ権限モニター」さらに、すべてのアクティビティを検索可能な履歴に記録します。
これは、航空会社のアプリが許可を無効にしていたにもかかわらず、携帯電話のカメラにアクセスしようとしているのをジャーナリストが目撃した時の出来事です。モニターが警告を発し、彼は アプリが不合理な時間にカメラを開こうとしていることを発見ソーシャルメディア上で白熱した議論が巻き起こった。
このような場合、システムは通常、その試みについて警告しますが、許可が拒否された場合は、 アプリは実際には問題のカメラやセンサーを使用していないそれでも、その試み自体は無視すべきではない警告サインだ。
iOSでアプリがクリップボードにアクセスしているかどうかを確認する方法
Appleのエコシステムでは、クリップボードの動作も近年大きく変化しており、 コピーしたデータを閲覧しているアプリを把握し、自動アクセスを減らす方法.
iOS 14以降のクリップボードアクセス通知
iOS 14以降、アプリがクリップボードを読み込んだ場合、どのアプリが読み込んだかを示す通知が画面上部に表示されます。これは、 手動で何も貼り付けていないのにそのメッセージが表示される場合は、アプリが独自にクリップボードを「確認」したことになります。.
この機能が導入される前は、自動アクセスが非常に一般的でした。 多くのアプリでは、アプリを開いたり画面を変更したりするだけで、コピーした内容を確認できました。利便性のためか、追跡システムに入力するためかは不明ですが、これらの読み取りはそれぞれ、視覚的なアラートの形で痕跡を残すようになり、多くの開発者に自分の行動を再考させるようになりました。
この仕組みは正当な使用と不正使用を区別しませんが、そのアプリを信頼できるかどうかを判断するために必要な最小限の情報を提供します。ほとんど使用しないアプリが クリップボードを常に読み取っているため、権限を取り消すか、完全にアンインストールする十分な理由があります。.
セキュアペーストとiOS 15の変更点
iOS 15では、Appleは「セキュアペースト」と呼ばれる改良を導入しました。この機能により、開発者は… アプリはクリップボードにアクセスする必要があるものの、ユーザーが確認するまで実際にはコンテンツを「表示」しないシステムを実装します。 接着すると、サイレントアクセスを軽減する中間層のようなものになります。
問題は、すべてのアプリがこのシステムに適応しているわけではないことです。 特定のアプリを使用しているときにクリップボードアクセス通知が引き続き表示される場合これは通常、開発者がまだ Secure Paste を統合しておらず、従来の方法でコンテンツにアクセスしていることを示しています。
現時点では、Apple は、通知によって提供される情報とユーザー自身の判断以外に、クリップボードの使用を選択した場合にアプリによるクリップボードの読み取りを完全に防止する方法を提供していません。 動作が気に入らないアプリの使用を中止するか、アンインストールしてください。こうした種類の機能に影響を与えたい場合は、製品フィードバック フォームを通じて Apple に直接提案を送信できます。
追加の手がかりとしてカメラとマイクのインジケーター
元の質問はクリップボードに関するものですが、iOS では、マイクとカメラへのアクセスに関する物理的なインジケーターを認識しておくことが非常に役立ちます。 マイクの使用時にはオレンジ色のドットが表示され、カメラの使用時には緑色のドットが表示されます。画面の上部にあります。
これらのポイントは、即時の「指標」として機能します。 録音中、通話中、または写真を撮っていないときは、緑またはオレンジ色のドットが点灯します。これは、現在使用しているアプリに疑念を抱かせるものです。これは、異常なアクセスを検出するためのシンプルながらも非常に効果的なツールです。
Androidでは、Access Dotsのようなアプリで同様のことができます。 アプリがカメラやマイクを使用するたびに、画面にLEDインジケーターが表示されて警告します。iOS のようにネイティブではありませんが、異常な動作を検出するのに非常に役立つ視覚的な制御レイヤーを追加します。
アプリは実際にクリップボードから何を見ることができるのでしょうか? また、それがなぜ危険なのでしょうか?
クリップボードにアクセスするアプリは、単に「意味のないテキスト」を見るわけではありません。コピーする内容に応じて、 非常に個人的な URL、あるソーシャル ネットワークから別のソーシャル ネットワークに転送した写真、電話番号、住所、さらには銀行の詳細すべてにアクセスできる可能性があります。.
攻撃者にとって、これはまさに金のなる木です。コピーした内容と閲覧習慣、そしてアプリがすでに持っているその他のデータを組み合わせると、攻撃は非常に簡単になります。 あなたが誰で、何をしていて、誰と話しているのかという非常に詳細なプロフィールを作成する金融または認証アプリケーションでは、検証コードやカード番号が取得される可能性があるため、リスクはさらに増大します。
そのため、アプリケーションセキュリティ標準であるOWASPでは、クリップボード管理を MASVS-CODE コード品質カテゴリアプリ内のクリップボードの実装が適切でないと、他のアプリケーションや攻撃者が極めて機密性の高いデータをほとんど苦労せずに入手できてしまう可能性があります。
専門家や AppCensus のようなツールは何をするのでしょうか?
アプリケーションが内部で何を実行しているかを正確に把握するには、ストアでアプリケーションがどのような権限を要求しているかを確認するだけでは不十分です。 許可を申請すること自体は一つのことですが、それをいつどのように使用するかということは全く別の問題です。ほとんどのユーザーには、携帯電話からその詳細を確認する方法がありません。
ICSIなどの機関の研究者はAppCensusのようなプロジェクトを立ち上げ、 彼らは Android のバージョンを変更してシステムを計測し、アプリがアクセスするデータとそのアクセス時間を正確に記録します。これは、オペレーティング システムに大きな変更を加える必要があるため、通常のアプリのように Google Play からインストールできるものではありません。
この分析を通じて、彼らは数千ものアプリケーション(ある調査では12.000以上)を発見しました。 ユーザーが明示的に許可を拒否した後も、個人情報の収集は継続されました。影響を受ける可能性のあるユーザーの数は数億人に達し、問題の規模の大きさがわかります。
平均的なユーザーにとって、AppCensus のようなツールは主に情報源として機能します。 人気のあるアプリをインストールするか、引き続き使用するかを決める前に、そのアプリが実際にデータで何を行うかを確認できます。完璧ではありませんが、ストアの説明や終わりのない曖昧なプライバシー ポリシーだけに頼るよりはましです。
アプリの権限を確認して制御するにはどうすればよいですか?
クリップボードはカメラやマイクほど直接的な制御は提供しませんが、セキュリティの重要な部分はこれに依存します。 各アプリの残りの権限を賢く管理します。、AndroidとiOSの両方。
Android では、プライバシーとセキュリティの設定でアプリケーションとその権限のリストを表示できます。 カメラ、マイク、位置情報、連絡先、ストレージなど。一部のレイヤーでは、アプリが権限を常に使用できるか、使用中のみ使用できるか、1 回のみ使用できるかを選択することもできます。
iOSでも同様のことが起こります。設定のプライバシーセクションで、カテゴリ(カメラ、マイク、写真、位置情報など)ごとに どのアプリに権限があるのかを確認し、1 回のタップで無効にします。キーの権限を削除すると特定の機能が動作しなくなりますが、本当に必要なときにはほとんどの場合権限を再度付与できることに留意してください。
ユーザーとして自分自身を守るための実用的なヒント
システムの警告や高度な機能を超えて、最善の防御策は常識です。アプリをインストールする前に、 要求される権限をよく確認し、約束どおりの動作をするために本当に必要かどうかを自問してください。あなたの連絡先、正確な位置情報、写真にアクセスしようとする懐中電灯は、控えめに言っても疑わしいものです。
同じ機能を持つアプリが複数ある場合は、常に 不要または過剰だと考えられる許可の数よりも少ない数の許可を申請してください。多くの場合、開発者が広告や積極的な分析のためにデータを収集しないことを決定したため、プライバシーをより尊重する同様に優れた代替手段が存在します。
Androidでは、最新バージョンにアップデートできない場合は、 しばらくするとクリップボードの内容を自動的に消去しますAndroid 13以降では、システムが自動的にこれを行いますが、それ以前のバージョンでは行われていませんでした。これにより、コピー内容を読み取ろうとする悪意のあるアプリの脆弱性が軽減されます。
最終的な考察
最後に、特に機密性の高いデータは、できる限りコピー&ペーストしない習慣をつけましょう。 安全な自動入力機能を備えたパスワードマネージャー パスワードを手動でコピーする代わりに、一時コードをコピーする必要がある場合は、必要以上に長くクリップボードに残らないように、できるだけ早く貼り付けて削除するようにしてください。
結局のところ、クリップボードは非常に便利なツールですが、ユーザー情報を必要以上に知りたいアプリにとっては、ちょっとした金鉱でもあります。AndroidとiOSの最新バージョンでは、アラート、履歴、その他のオプションが用意されており、コピーした内容を誰が閲覧しているかを検知して閲覧を阻止できるようになりました。しかしながら、権限設定を慎重に確認し、本当に必要なアプリのみをインストールし、コピー&ペーストには慎重に行動することが依然として重要です。なぜなら、日々のデジタルプライバシーのかなりの部分が危険にさらされているからです。 このガイドを共有すると、より多くのユーザーがトピックについて学ぶことができます.