TikTok等熱門應(yīng)用在您的iPhone剪貼板上窺探

根據(jù)新的研究，盡管目前還沒有任何濫用跡象，但許多流行的iOS和iPadOS應(yīng)用似乎都在設(shè)備剪貼板上進(jìn)行監(jiān)聽。

TikTok是被發(fā)現(xiàn)在用戶不知情的情況下在iOS剪貼板上進(jìn)行監(jiān)聽的大約50個(gè)應(yīng)用程序之一。

iOS或iPadOS上的應(yīng)用程序通?？梢圆皇芟拗频卦L問復(fù)制或剪切到系統(tǒng)范圍鍵盤上的數(shù)據(jù)。蘋果方面則表示這是故意的行為。但是，一對iOS開發(fā)人員發(fā)現(xiàn)，每次打開應(yīng)用程序時(shí)，它們可能都在用戶不知情的情況下讀取這些數(shù)據(jù)。

在博客文章中，開發(fā)人員Tommy Mysk和Talal Haj Bakry列出了大約50個(gè)應(yīng)用的列表，這些應(yīng)用每次在用戶不知情的情況下打開時(shí)都會(huì)讀取iOS剪貼板的內(nèi)容。該列表包括TikTok，Accuweather，Truecaller，Overstock等熱門應(yīng)用，以及大量新聞出版物。

使用Xcode的開發(fā)人員和Xcode命令行來分析應(yīng)用程序的行為，還發(fā)布了概念驗(yàn)證視頻，演示了明顯的漏洞。

需要明確的是，這項(xiàng)研究并不表明這些應(yīng)用程序?qū)?shù)據(jù)進(jìn)行了任何惡意處理，甚至沒有對其進(jìn)行泄露。他們只是在讀。但是，僅憑這一事實(shí)就為潛在的濫用敞開了大門。

盡管通常存儲在剪貼板中的數(shù)據(jù)是相當(dāng)不錯(cuò)的，但該方法可用于讀取敏感的復(fù)制信息，例如信用卡號或明文密碼。如果用戶在其相機(jī)膠卷中復(fù)制圖像，則它也可能包含具有特定位置或坐標(biāo)的元數(shù)據(jù)，盡管開發(fā)人員分析的應(yīng)用僅查看文本。

這并不是Mysk和Bakry首次調(diào)查剪貼板漏洞。二月，二人向蘋果公司提交了他們對剪貼板位置數(shù)據(jù)的研究。

據(jù)報(bào)道，庫比蒂諾(Cupertino)技術(shù)巨頭告訴他們，該行為沒有問題，因?yàn)橹挥星芭_的應(yīng)用程序才能讀取剪貼板。然后，Mysk和Bakry創(chuàng)建了一個(gè)小部件，該小部件顯示應(yīng)用程序可以在“今日視圖”中訪問剪貼板。他們還表明，該漏洞可用于讀取通過通用剪貼板在Mac上復(fù)制的文本。

發(fā)生這種剪貼板讀取可能是非惡意的原因。開發(fā)人員告訴《福布斯》，這可能是由于舊版庫正在讀取剪貼板而引起的，有些開發(fā)人員可能不知道這種情況正在發(fā)生。

Mysk和Bakry認(rèn)為Apple應(yīng)該采取行動(dòng)關(guān)閉該漏洞，因?yàn)閯?chuàng)建惡意代碼秘密地滲入該數(shù)據(jù)非常簡單。

考慮到某些應(yīng)用程序(例如TikTok)的安全性和隱私問題，該漏洞變得更加令人擔(dān)憂。

2019年4月，出于對兒童安全的擔(dān)憂，政府敦促蘋果將TikTok從App Store中刪除。雖然該應(yīng)用程序在一周之內(nèi)得到了恢復(fù)，但TikTok在世界其他地區(qū)也受到了審查。例如，《紐約時(shí)報(bào)》報(bào)道，已經(jīng)對該應(yīng)用程序進(jìn)行了安全審查。