mt logoMyToken
总市值:
0%
恐慌指数:
0%
币种:--
交易所 --
ETH Gas:--
EN
USD
APP
Ap Store QR Code

Scan Download

抖音令人抖!多款程式窥探剪贴板数据,加密私钥与敏感性数据恐外泄

收藏
分享
tik tok

研究人员发现包括 TikTok (抖音) 在内的五十几种 iOS 应用程式会定期从 iOS 剪贴板中调出数据,这意味着 iOS 用户可能在不知不觉中泄漏了加密货币钱包的私钥。而这项资安问题也引起了 Apple 官方的关注,开发团队在 iOS 14 Beta 版中添加了一项新功能。

TikTok 等应用程式调用剪贴板数据

今年 3 月,资安研究人员 Tommy Mysk 和 Talal Haj Bakry 所发布的 报告 发现了包括 TikTok 在内的五十几种 iOS 应用程式会定期从 iOS 剪贴板中调出数据。这对于加密货币投资人而言是相当危险的事,众所周知,加密货币钱包的私钥复杂且冗长,大部分人都会将其存放在设备中,并以复制贴上的方式访问钱包地址。这些应用程式能够调出剪贴板中的数据,意味着用户的私钥可能已经在不知不觉中泄漏了。

除此之外,由于 Apple 的各种产品(包括 iPhone、iPad 和 Mac )具备共享通用剪贴板功能,因此,当同一个 Apple ID 的设备非常接近(约10英尺)时,它们可以从另一台设备读取剪贴板数据,以防您要将某些东西从一台设备粘贴到另一台设备。

另一方面,尽管 TikTok 在三月接受英国媒体《Telegraph》 采访 时曾承诺,为了用户隐私会立即停止该功能,但研究人员却发现该应用程式从未停止对剪贴板的数据调用。

根据研究人员在 Twitter 发布的推文显示,目前,每当用户在撰写评论时应用程式仍然不断在读取剪贴板的数据,且剪贴板读取的频率可能每秒就会发生一次,这比 3 月份的研究记录还要来得高。

iOS 14 添加新功能

这项资安问题引起了 Apple 官方的关注,开发团队在 iOS 14 Beta 版中添加了一项新功能,该功能能够在应用程式读取剪贴板内容时推播横幅警告。测试影片在 YouTube 上流出,自发布以来已获得超过 87,000 次观看数,从影片中可以看出,有许多我们熟悉的应用程式,都会在不知不觉中调用剪贴板的数据。

事实上,大多数应用程式并非基于恶意目的,且应用程式调用剪贴板数据在某些情况下确实能够为用户带来更好的使用者体验,目前也没有传出加密货币失窃的消息。但该功能的存在也引发了人们对 iOS 内数据安全性的担忧。

研究人员 Tommy Mysk 认为 Apple 在  iOS 14 Beta 版释出的通知功能是一个良好的开端,但其表示,应该更近一步为剪贴板访问设计标准访问权限,就像应用程式调用麦克风或相机时会跳出的访问通知一样,此外,Apple 也应该要求应用程式开发人员披露调用这些剪贴板数据的目的。

衍伸阅读


立即加入 Telegram 获得最完整的金融科技资讯、区块链新知、业界实例!

免责声明:本文版权归原作者所有,不代表MyToken(www.mytokencap.com)观点和立场;如有关于内容、版权等问题,请与我们联系。
相关阅读