抖音令人抖!多款程式窺探剪貼板數據,加密私鑰與敏感性數據恐外洩

tik tok

研究人員發現包括 TikTok (抖音) 在內的五十幾種 iOS 應用程式會定期從 iOS 剪貼板中調出數據,這意味著 iOS 用戶可能在不知不覺中洩漏了加密貨幣錢包的私鑰。而這項資安問題也引起了 Apple 官方的關注,開發團隊在 iOS 14 Beta 版中添加了一項新功能。

TikTok 等應用程式調用剪貼板數據

今年 3 月,資安研究人員 Tommy Mysk 和 Talal Haj Bakry 所發佈的報告發現了包括 TikTok 在內的五十幾種 iOS 應用程式會定期從 iOS 剪貼板中調出數據。這對於加密貨幣投資人而言是相當危險的事,眾所周知,加密貨幣錢包的私鑰複雜且冗長,大部分人都會將其存放在設備中,並以複製貼上的方式訪問錢包地址。這些應用程式能夠調出剪貼板中的數據,意味著用戶的私鑰可能已經在不知不覺中洩漏了。

除此之外,由於 Apple 的各種產品(包括 iPhone、iPad 和 Mac )具備共享通用剪貼板功能,因此,當同一個 Apple ID 的設備非常接近(約10英尺)時,它們可以從另一台設備讀取剪貼板數據,以防您要將某些東西從一台設備粘貼到另一台設備。

另一方面,儘管 TikTok 在三月接受英國媒體《Telegraph》採訪時曾承諾,為了用戶隱私會立即停止該功能,但研究人員卻發現該應用程式從未停止對剪貼板的數據調用。

根據研究人員在 Twitter 發佈的推文顯示,目前,每當用戶在撰寫評論時應用程式仍然不斷在讀取剪貼板的數據,且剪貼板讀取的頻率可能每秒就會發生一次,這比 3 月份的研究記錄還要來得高。

iOS 14 添加新功能

這項資安問題引起了 Apple 官方的關注,開發團隊在 iOS 14 Beta 版中添加了一項新功能,該功能能夠在應用程式讀取剪貼板內容時推播橫幅警告。測試影片在 YouTube 上流出,自發布以來已獲得超過 87,000 次觀看數,從影片中可以看出,有許多我們熟悉的應用程式,都會在不知不覺中調用剪貼板的數據。

事實上,大多數應用程式並非基於惡意目的,且應用程式調用剪貼板數據在某些情況下確實能夠為用戶帶來更好的使用者體驗,目前也沒有傳出加密貨幣失竊的消息。但該功能的存在也引發了人們對 iOS 內數據安全性的擔憂。

研究人員 Tommy Mysk 認為 Apple 在  iOS 14 Beta 版釋出的通知功能是一個良好的開端,但其表示,應該更近一步為剪貼板訪問設計標準訪問權限,就像應用程式調用麥克風或相機時會跳出的訪問通知一樣,此外,Apple 也應該要求應用程式開發人員披露調用這些剪貼板數據的目的。

衍伸閱讀


立即加入 Telegram 獲得最完整的金融科技資訊、區塊鏈新知、業界實例!