研究人员发现包括 TikTok (抖音) 在内的五十几种 iOS 应用程式会定期从 iOS 剪贴板中调出数据,这意味着 iOS 用户可能在不知不觉中泄漏了加密货币钱包的私钥。而这项资安问题也引起了 Apple 官方的关注,开发团队在 iOS 14 Beta 版中添加了一项新功能。
TikTok 等应用程式调用剪贴板数据
今年 3 月,资安研究人员 Tommy Mysk 和 Talal Haj Bakry 所发布的 报告 发现了包括 TikTok 在内的五十几种 iOS 应用程式会定期从 iOS 剪贴板中调出数据。这对于加密货币投资人而言是相当危险的事,众所周知,加密货币钱包的私钥复杂且冗长,大部分人都会将其存放在设备中,并以复制贴上的方式访问钱包地址。这些应用程式能够调出剪贴板中的数据,意味着用户的私钥可能已经在不知不觉中泄漏了。
除此之外,由于 Apple 的各种产品(包括 iPhone、iPad 和 Mac )具备共享通用剪贴板功能,因此,当同一个 Apple ID 的设备非常接近(约10英尺)时,它们可以从另一台设备读取剪贴板数据,以防您要将某些东西从一台设备粘贴到另一台设备。
另一方面,尽管 TikTok 在三月接受英国媒体《Telegraph》 采访 时曾承诺,为了用户隐私会立即停止该功能,但研究人员却发现该应用程式从未停止对剪贴板的数据调用。
根据研究人员在 Twitter 发布的推文显示,目前,每当用户在撰写评论时应用程式仍然不断在读取剪贴板的数据,且剪贴板读取的频率可能每秒就会发生一次,这比 3 月份的研究记录还要来得高。
Okay so TikTok is grabbing the contents of my clipboard every 1-3 keystrokes. iOS 14 is snitching on it with the new paste notification pic.twitter.com/OSXP43t5SZ
— Jeremy Burge (@jeremyburge) June 24, 2020
iOS 14 添加新功能
这项资安问题引起了 Apple 官方的关注,开发团队在 iOS 14 Beta 版中添加了一项新功能,该功能能够在应用程式读取剪贴板内容时推播横幅警告。测试影片在 YouTube 上流出,自发布以来已获得超过 87,000 次观看数,从影片中可以看出,有许多我们熟悉的应用程式,都会在不知不觉中调用剪贴板的数据。
事实上,大多数应用程式并非基于恶意目的,且应用程式调用剪贴板数据在某些情况下确实能够为用户带来更好的使用者体验,目前也没有传出加密货币失窃的消息。但该功能的存在也引发了人们对 iOS 内数据安全性的担忧。
研究人员 Tommy Mysk 认为 Apple 在 iOS 14 Beta 版释出的通知功能是一个良好的开端,但其表示,应该更近一步为剪贴板访问设计标准访问权限,就像应用程式调用麦克风或相机时会跳出的访问通知一样,此外,Apple 也应该要求应用程式开发人员披露调用这些剪贴板数据的目的。
衍伸阅读
立即加入 Telegram 获得最完整的金融科技资讯、区块链新知、业界实例!