53個(gè)iOS應(yīng)用程序仍然會(huì)窺探你的敏感剪貼板數(shù)據(jù)

今年3月，研究人員發(fā)現(xiàn)，包括在互聯(lián)網(wǎng)上掀起風(fēng)暴的中國(guó)社交媒體和視頻分享現(xiàn)象TikTok在內(nèi)的40多個(gè)iOS應(yīng)用程序都在侵犯隱私，這令人不安。盡管TikTok發(fā)誓要遏制這種行為，但它仍在訪問(wèn)蘋果用戶的一些最敏感數(shù)據(jù)，包括密碼、加密貨幣錢包地址、賬戶重置鏈接和個(gè)人信息。3月份發(fā)現(xiàn)的另外53個(gè)應(yīng)用程序也沒(méi)有停止運(yùn)行。

侵犯隱私的原因是這些應(yīng)用程序反復(fù)閱讀恰巧存在于剪貼板中的任何文本。電腦和其他設(shè)備使用剪貼板來(lái)存儲(chǔ)從密碼管理器和電子郵件程序中剪切或復(fù)制的數(shù)據(jù)。研究人員塔拉勒·哈吉·巴克里(Talal Haj Bakry)和湯米·邁斯克(Tommy Mysk)發(fā)現(xiàn)，在沒(méi)有明確理由的情況下，這些應(yīng)用程序故意將一個(gè)從用戶剪貼板中檢索文本的iOS編程界面稱為iOS編程界面。

在很多情況下，隱讀并不局限于存儲(chǔ)在本地設(shè)備上的數(shù)據(jù)。在iPhone或iPad上使用相同的蘋果ID作為其他蘋果設(shè)備,在大約10英尺,它們共享一個(gè)通用的剪貼板,這意味著內(nèi)容可以從一個(gè)設(shè)備的應(yīng)用和復(fù)制粘貼到一個(gè)應(yīng)用程序運(yùn)行在一個(gè)單獨(dú)的設(shè)備。

這樣一來(lái)，iPhone上的應(yīng)用程序就有可能讀取其他聯(lián)網(wǎng)設(shè)備剪貼板上的敏感數(shù)據(jù)。這可能包括比特幣地址、密碼或臨時(shí)存儲(chǔ)在附近Mac或iPad剪貼板上的電子郵件信息。盡管運(yùn)行在單獨(dú)的設(shè)備上，iOS應(yīng)用程序可以輕松讀取存儲(chǔ)在其他機(jī)器上的敏感數(shù)據(jù)。

“這是非常、非常危險(xiǎn)的，”Mysk在周五的一次采訪中說(shuō)，指的是應(yīng)用程序不加區(qū)分地讀取剪貼板數(shù)據(jù)?！斑@些應(yīng)用程序是閱讀剪貼板，沒(méi)有理由這樣做。一個(gè)有文本框來(lái)輸入文本的應(yīng)用就沒(méi)有理由去讀剪貼板上的文本。”

當(dāng)Haj Bakry和Mysk在3月份發(fā)表了他們的研究成果時(shí)，本周iOS 14測(cè)試版的發(fā)布再次成為了頭條新聞。蘋果新增的一項(xiàng)新功能是，每當(dāng)應(yīng)用程序閱讀剪貼板內(nèi)容時(shí)，都會(huì)出現(xiàn)橫幅警告。隨著大量的人開始測(cè)試beta版本，他們很快就意識(shí)到有多少應(yīng)用程序參與了實(shí)踐，以及它們這么做的頻率有多高。

這段YouTube視頻自周二發(fā)布以來(lái)，點(diǎn)擊量已超過(guò)87000次。視頻顯示了觸發(fā)新警告的一小部分應(yīng)用程序

最近的頭條尤其關(guān)注TikTok，這在很大程度上是因?yàn)樗鼡碛旋嫶蟮幕钴S用戶群(據(jù)報(bào)道，TikTok擁有8億活躍用戶，僅在2018年上半年，iOS的安裝量就達(dá)到1.04億次，成為同期下載量最多的應(yīng)用)。

由于其他原因，TikTok的持續(xù)監(jiān)聽(tīng)受到了額外的審查。今年3月，這家視頻分享服務(wù)提供商在接受英國(guó)《每日電訊報(bào)》采訪時(shí)表示，將在未來(lái)幾周內(nèi)停止這種做法。Mysk表示，該應(yīng)用程序從未停止監(jiān)控。此外，周三Twitter上的一個(gè)帖子透露，每當(dāng)用戶在撰寫評(píng)論時(shí)輸入標(biāo)點(diǎn)符號(hào)或點(diǎn)擊空格鍵，剪貼板就會(huì)被讀取。這意味著，讀取剪貼板的速度可以大約每秒鐘發(fā)生一次，比3月份的研究中記錄的速度快得多，當(dāng)時(shí)的研究發(fā)現(xiàn)，當(dāng)應(yīng)用程序被打開或重新打開時(shí)，監(jiān)控就會(huì)發(fā)生。

繁殖:1。在你的剪貼板上寫點(diǎn)東西。從筆記或網(wǎng)站上復(fù)制一些文本。打開TikTok并開始在任何文本字段3中輸入。你可以從ios14測(cè)試版的應(yīng)用程序“粘貼”中了解到——但在這個(gè)例子中，我沒(méi)有請(qǐng)求粘貼，而且沒(méi)有文本出現(xiàn)在UI中

在一份聲明中，TikTok代表寫道:

6月22日，iOS14發(fā)布了測(cè)試版，用戶在使用一些流行應(yīng)用時(shí)可以看到通知。對(duì)于TikTok來(lái)說(shuō)，這是由一項(xiàng)旨在識(shí)別重復(fù)性垃圾行為的功能觸發(fā)的。我們已經(jīng)向app Store提交了更新版本，刪除了反垃圾郵件功能，以消除任何潛在的混亂。

TikTok致力于保護(hù)用戶的隱私，并對(duì)我們的應(yīng)用程序如何工作保持透明。我們期待著在今年晚些時(shí)候歡迎外部專家到我們的透明度中心來(lái)。

在后臺(tái)，一位發(fā)言人表示，TikTok在Android上從未實(shí)現(xiàn)過(guò)反垃圾郵件功能。

我發(fā)送了后續(xù)問(wèn)題，問(wèn):(1)Android版的TikTok是否出于其他原因監(jiān)控了剪貼板，(2)是否從設(shè)備上上傳了剪貼板文本，(3)為什么TikTok沒(méi)有按照3月份承諾的那樣移除監(jiān)控。該發(fā)言人尚未作出回應(yīng)。如果稍后有回復(fù)，這篇文章將會(huì)更新。

總而言之，研究人員發(fā)現(xiàn)以下iOS應(yīng)用程序在每次打開時(shí)都在莫名其妙地讀取用戶的剪貼

報(bào)告發(fā)表后不久，“快樂(lè)10%:冥想和今夜酒店”承諾停止這種行為，并迅速執(zhí)行。Mysk說(shuō)，TikTik也承諾停止，但從未這樣做。他說(shuō)，其他應(yīng)用程序也沒(méi)有停止。

在某些情況下，讀取剪貼板可以讓應(yīng)用程序更有用。例如，UPS的iPhone應(yīng)用程序從剪貼板中提取文本，如果文本與快遞號(hào)碼的特征相符，該應(yīng)用程序就會(huì)提示用戶跟蹤相應(yīng)的包裹。谷歌Chrome還可以提取文本，如果是URL，則會(huì)提示用戶瀏覽到該文本。Pixelmator圖片編輯器只讀取圖像數(shù)據(jù)。如果是，Pixelmator會(huì)提示用戶打開它進(jìn)行編輯。在這三種情況下，數(shù)據(jù)讀取都有一個(gè)清晰的用例，并且是透明的。

相比之下，TikTok和其他有問(wèn)題的應(yīng)用程序訪問(wèn)剪貼板沒(méi)有明確的原因，也沒(méi)有任何跡象表明他們這樣做。對(duì)于許多應(yīng)用程序來(lái)說(shuō)，很難看到任何合法的性能或可用性的訪問(wèn)原因。Mysk表示，蘋果計(jì)劃將他和哈吉·巴克里的研究歸功于iOS 14中新增剪貼板通知的催化劑。

Haj Bakry和Mysk報(bào)道的剪貼板引起了人們的擔(dān)憂，可能會(huì)擴(kuò)展到使用Android和其他操作系統(tǒng)的用戶。Mysk表示，在Android應(yīng)用程序中閱讀剪貼板“甚至比iOS更糟糕”，因?yàn)椴僮飨到y(tǒng)的api要寬松得多。例如，在版本10之前，Android允許在后臺(tái)運(yùn)行的應(yīng)用程序讀取剪貼板。相比之下，iOS應(yīng)用程序只能在激活時(shí)(即前臺(tái)運(yùn)行時(shí))讀取或查詢剪貼板。

Mysk表示，蘋果的通知功能是一個(gè)良好的開端，但最終，蘋果和谷歌應(yīng)該做得更多。一種可能是使剪貼板訪問(wèn)成為標(biāo)準(zhǔn)權(quán)限，就像現(xiàn)在訪問(wèn)麥克風(fēng)或相機(jī)一樣。另一種可能是要求應(yīng)用程序開發(fā)人員精確地披露訪問(wèn)了哪些剪貼板數(shù)據(jù)以及應(yīng)用程序?qū)@些數(shù)據(jù)做了什么。

目前，用戶應(yīng)該知道，任何存儲(chǔ)在剪貼板中的數(shù)據(jù)——盡管肉眼看不出來(lái)——都可以被應(yīng)用程序定期訪問(wèn)，而這些應(yīng)用程序在很多情況下甚至沒(méi)有安裝在本地設(shè)備上。當(dāng)有疑問(wèn)時(shí)，通過(guò)復(fù)制字符、單詞或其他無(wú)害數(shù)據(jù)塊刷新剪貼板數(shù)據(jù)。