您的位置: 首頁 >互聯(lián)網(wǎng) >

53個iOS應用程序仍然會窺探你的敏感剪貼板數(shù)據(jù)

2020-07-09 15:15:38 編輯: 來源:
導讀 今年3月,研究人員發(fā)現(xiàn),包括在互聯(lián)網(wǎng)上掀起風暴的中國社交媒體和視頻分享現(xiàn)象TikTok在內的40多個iOS應用程序都在侵犯隱私,這令人不安。盡管TikTok發(fā)誓要遏制這種行為,但它仍在訪問蘋果用戶的一些最敏感數(shù)據(jù),包括密碼、加密貨幣錢包地址、賬戶重置鏈接和個人信息。3月份發(fā)現(xiàn)的另外53個應用程序也沒有停止運行。 侵犯隱私的原因是這些應用程序反復閱讀恰巧存在于剪貼板中的任何文本。電腦和其他設備使

今年3月,研究人員發(fā)現(xiàn),包括在互聯(lián)網(wǎng)上掀起風暴的中國社交媒體和視頻分享現(xiàn)象TikTok在內的40多個iOS應用程序都在侵犯隱私,這令人不安。盡管TikTok發(fā)誓要遏制這種行為,但它仍在訪問蘋果用戶的一些最敏感數(shù)據(jù),包括密碼、加密貨幣錢包地址、賬戶重置鏈接和個人信息。3月份發(fā)現(xiàn)的另外53個應用程序也沒有停止運行。

侵犯隱私的原因是這些應用程序反復閱讀恰巧存在于剪貼板中的任何文本。電腦和其他設備使用剪貼板來存儲從密碼管理器和電子郵件程序中剪切或復制的數(shù)據(jù)。研究人員塔拉勒·哈吉·巴克里(Talal Haj Bakry)和湯米·邁斯克(Tommy Mysk)發(fā)現(xiàn),在沒有明確理由的情況下,這些應用程序故意將一個從用戶剪貼板中檢索文本的iOS編程界面稱為iOS編程界面。

在很多情況下,隱讀并不局限于存儲在本地設備上的數(shù)據(jù)。在iPhone或iPad上使用相同的蘋果ID作為其他蘋果設備,在大約10英尺,它們共享一個通用的剪貼板,這意味著內容可以從一個設備的應用和復制粘貼到一個應用程序運行在一個單獨的設備。

這樣一來,iPhone上的應用程序就有可能讀取其他聯(lián)網(wǎng)設備剪貼板上的敏感數(shù)據(jù)。這可能包括比特幣地址、密碼或臨時存儲在附近Mac或iPad剪貼板上的電子郵件信息。盡管運行在單獨的設備上,iOS應用程序可以輕松讀取存儲在其他機器上的敏感數(shù)據(jù)。

“這是非常、非常危險的,”Mysk在周五的一次采訪中說,指的是應用程序不加區(qū)分地讀取剪貼板數(shù)據(jù)?!斑@些應用程序是閱讀剪貼板,沒有理由這樣做。一個有文本框來輸入文本的應用就沒有理由去讀剪貼板上的文本?!?/p>

當Haj Bakry和Mysk在3月份發(fā)表了他們的研究成果時,本周iOS 14測試版的發(fā)布再次成為了頭條新聞。蘋果新增的一項新功能是,每當應用程序閱讀剪貼板內容時,都會出現(xiàn)橫幅警告。隨著大量的人開始測試beta版本,他們很快就意識到有多少應用程序參與了實踐,以及它們這么做的頻率有多高。

這段YouTube視頻自周二發(fā)布以來,點擊量已超過87000次。視頻顯示了觸發(fā)新警告的一小部分應用程序

最近的頭條尤其關注TikTok,這在很大程度上是因為它擁有龐大的活躍用戶群(據(jù)報道,TikTok擁有8億活躍用戶,僅在2018年上半年,iOS的安裝量就達到1.04億次,成為同期下載量最多的應用)。

由于其他原因,TikTok的持續(xù)監(jiān)聽受到了額外的審查。今年3月,這家視頻分享服務提供商在接受英國《每日電訊報》采訪時表示,將在未來幾周內停止這種做法。Mysk表示,該應用程序從未停止監(jiān)控。此外,周三Twitter上的一個帖子透露,每當用戶在撰寫評論時輸入標點符號或點擊空格鍵,剪貼板就會被讀取。這意味著,讀取剪貼板的速度可以大約每秒鐘發(fā)生一次,比3月份的研究中記錄的速度快得多,當時的研究發(fā)現(xiàn),當應用程序被打開或重新打開時,監(jiān)控就會發(fā)生。

繁殖:1。在你的剪貼板上寫點東西。從筆記或網(wǎng)站上復制一些文本。打開TikTok并開始在任何文本字段3中輸入。你可以從ios14測試版的應用程序“粘貼”中了解到——但在這個例子中,我沒有請求粘貼,而且沒有文本出現(xiàn)在UI中

在一份聲明中,TikTok代表寫道:

6月22日,iOS14發(fā)布了測試版,用戶在使用一些流行應用時可以看到通知。對于TikTok來說,這是由一項旨在識別重復性垃圾行為的功能觸發(fā)的。我們已經(jīng)向app Store提交了更新版本,刪除了反垃圾郵件功能,以消除任何潛在的混亂。

TikTok致力于保護用戶的隱私,并對我們的應用程序如何工作保持透明。我們期待著在今年晚些時候歡迎外部專家到我們的透明度中心來。

在后臺,一位發(fā)言人表示,TikTok在Android上從未實現(xiàn)過反垃圾郵件功能。

我發(fā)送了后續(xù)問題,問:(1)Android版的TikTok是否出于其他原因監(jiān)控了剪貼板,(2)是否從設備上上傳了剪貼板文本,(3)為什么TikTok沒有按照3月份承諾的那樣移除監(jiān)控。該發(fā)言人尚未作出回應。如果稍后有回復,這篇文章將會更新。

總而言之,研究人員發(fā)現(xiàn)以下iOS應用程序在每次打開時都在莫名其妙地讀取用戶的剪貼

報告發(fā)表后不久,“快樂10%:冥想和今夜酒店”承諾停止這種行為,并迅速執(zhí)行。Mysk說,TikTik也承諾停止,但從未這樣做。他說,其他應用程序也沒有停止。

在某些情況下,讀取剪貼板可以讓應用程序更有用。例如,UPS的iPhone應用程序從剪貼板中提取文本,如果文本與快遞號碼的特征相符,該應用程序就會提示用戶跟蹤相應的包裹。谷歌Chrome還可以提取文本,如果是URL,則會提示用戶瀏覽到該文本。Pixelmator圖片編輯器只讀取圖像數(shù)據(jù)。如果是,Pixelmator會提示用戶打開它進行編輯。在這三種情況下,數(shù)據(jù)讀取都有一個清晰的用例,并且是透明的。

相比之下,TikTok和其他有問題的應用程序訪問剪貼板沒有明確的原因,也沒有任何跡象表明他們這樣做。對于許多應用程序來說,很難看到任何合法的性能或可用性的訪問原因。Mysk表示,蘋果計劃將他和哈吉·巴克里的研究歸功于iOS 14中新增剪貼板通知的催化劑。

Haj Bakry和Mysk報道的剪貼板引起了人們的擔憂,可能會擴展到使用Android和其他操作系統(tǒng)的用戶。Mysk表示,在Android應用程序中閱讀剪貼板“甚至比iOS更糟糕”,因為操作系統(tǒng)的api要寬松得多。例如,在版本10之前,Android允許在后臺運行的應用程序讀取剪貼板。相比之下,iOS應用程序只能在激活時(即前臺運行時)讀取或查詢剪貼板。

Mysk表示,蘋果的通知功能是一個良好的開端,但最終,蘋果和谷歌應該做得更多。一種可能是使剪貼板訪問成為標準權限,就像現(xiàn)在訪問麥克風或相機一樣。另一種可能是要求應用程序開發(fā)人員精確地披露訪問了哪些剪貼板數(shù)據(jù)以及應用程序對這些數(shù)據(jù)做了什么。

目前,用戶應該知道,任何存儲在剪貼板中的數(shù)據(jù)——盡管肉眼看不出來——都可以被應用程序定期訪問,而這些應用程序在很多情況下甚至沒有安裝在本地設備上。當有疑問時,通過復制字符、單詞或其他無害數(shù)據(jù)塊刷新剪貼板數(shù)據(jù)。


免責聲明:本文由用戶上傳,如有侵權請聯(lián)系刪除!

精彩推薦

圖文推薦

點擊排行

2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復制必究 聯(lián)系QQ280 715 8082   備案號:閩ICP備19027007號-6

本站除標明“本站原創(chuàng)”外所有信息均轉載自互聯(lián)網(wǎng) 版權歸原作者所有。