TikTok等熱門(mén)應(yīng)用在您的iPhone剪貼板上窺探

根據(jù)新的研究，盡管目前還沒(méi)有任何濫用跡象，但許多流行的iOS和iPadOS應(yīng)用似乎都在設(shè)備剪貼板上進(jìn)行監(jiān)聽(tīng)。

TikTok是被發(fā)現(xiàn)在用戶不知情的情況下在iOS剪貼板上進(jìn)行監(jiān)聽(tīng)的大約50個(gè)應(yīng)用程序之一。

iOS或iPadOS上的應(yīng)用程序通?？梢圆皇芟拗频卦L問(wèn)復(fù)制或剪切到系統(tǒng)范圍鍵盤(pán)上的數(shù)據(jù)。蘋(píng)果方面則表示這是故意的行為。但是，一對(duì)iOS開(kāi)發(fā)人員發(fā)現(xiàn)，每次打開(kāi)應(yīng)用程序時(shí)，它們可能都在用戶不知情的情況下讀取這些數(shù)據(jù)。

在博客文章中，開(kāi)發(fā)人員Tommy Mysk和Talal Haj Bakry列出了大約50個(gè)應(yīng)用的列表，這些應(yīng)用每次在用戶不知情的情況下打開(kāi)時(shí)都會(huì)讀取iOS剪貼板的內(nèi)容。該列表包括TikTok，Accuweather，Truecaller，Overstock等熱門(mén)應(yīng)用，以及大量新聞出版物。

使用Xcode的開(kāi)發(fā)人員和Xcode命令行來(lái)分析應(yīng)用程序的行為，還發(fā)布了概念驗(yàn)證視頻，演示了明顯的漏洞。

需要明確的是，這項(xiàng)研究并不表明這些應(yīng)用程序?qū)?shù)據(jù)進(jìn)行了任何惡意處理，甚至沒(méi)有對(duì)其進(jìn)行泄露。他們只是在讀。但是，僅憑這一事實(shí)就為潛在的濫用敞開(kāi)了大門(mén)。

盡管通常存儲(chǔ)在剪貼板中的數(shù)據(jù)是相當(dāng)不錯(cuò)的，但該方法可用于讀取敏感的復(fù)制信息，例如信用卡號(hào)或明文密碼。如果用戶在其相機(jī)膠卷中復(fù)制圖像，則它也可能包含具有特定位置或坐標(biāo)的元數(shù)據(jù)，盡管開(kāi)發(fā)人員分析的應(yīng)用僅查看文本。

這并不是Mysk和Bakry首次調(diào)查剪貼板漏洞。二月，二人向蘋(píng)果公司提交了他們對(duì)剪貼板位置數(shù)據(jù)的研究。

據(jù)報(bào)道，庫(kù)比蒂諾(Cupertino)技術(shù)巨頭告訴他們，該行為沒(méi)有問(wèn)題，因?yàn)橹挥星芭_(tái)的應(yīng)用程序才能讀取剪貼板。然后，Mysk和Bakry創(chuàng)建了一個(gè)小部件，該小部件顯示應(yīng)用程序可以在“今日視圖”中訪問(wèn)剪貼板。他們還表明，該漏洞可用于讀取通過(guò)通用剪貼板在Mac上復(fù)制的文本。

發(fā)生這種剪貼板讀取可能是非惡意的原因。開(kāi)發(fā)人員告訴《福布斯》，這可能是由于舊版庫(kù)正在讀取剪貼板而引起的，有些開(kāi)發(fā)人員可能不知道這種情況正在發(fā)生。

Mysk和Bakry認(rèn)為Apple應(yīng)該采取行動(dòng)關(guān)閉該漏洞，因?yàn)閯?chuàng)建惡意代碼秘密地滲入該數(shù)據(jù)非常簡(jiǎn)單。

考慮到某些應(yīng)用程序(例如TikTok)的安全性和隱私問(wèn)題，該漏洞變得更加令人擔(dān)憂。

2019年4月，出于對(duì)兒童安全的擔(dān)憂，政府敦促蘋(píng)果將TikTok從App Store中刪除。雖然該應(yīng)用程序在一周之內(nèi)得到了恢復(fù)，但TikTok在世界其他地區(qū)也受到了審查。例如，《紐約時(shí)報(bào)》報(bào)道，已經(jīng)對(duì)該應(yīng)用程序進(jìn)行了安全審查。