2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號:閩ICP備19027007號-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。
今年3月,研究人員發(fā)現(xiàn),包括在互聯(lián)網(wǎng)上掀起風(fēng)暴的中國社交媒體和視頻分享現(xiàn)象TikTok在內(nèi)的40多個iOS應(yīng)用程序都在侵犯隱私,這令人不安。盡管TikTok發(fā)誓要遏制這種行為,但它仍在訪問蘋果用戶的一些最敏感數(shù)據(jù),包括密碼、加密貨幣錢包地址、賬戶重置鏈接和個人信息。3月份發(fā)現(xiàn)的另外53個應(yīng)用程序也沒有停止運行。
侵犯隱私的原因是這些應(yīng)用程序反復(fù)閱讀恰巧存在于剪貼板中的任何文本。電腦和其他設(shè)備使用剪貼板來存儲從密碼管理器和電子郵件程序中剪切或復(fù)制的數(shù)據(jù)。研究人員塔拉勒·哈吉·巴克里(Talal Haj Bakry)和湯米·邁斯克(Tommy Mysk)發(fā)現(xiàn),在沒有明確理由的情況下,這些應(yīng)用程序故意將一個從用戶剪貼板中檢索文本的iOS編程界面稱為iOS編程界面。
在很多情況下,隱讀并不局限于存儲在本地設(shè)備上的數(shù)據(jù)。在iPhone或iPad上使用相同的蘋果ID作為其他蘋果設(shè)備,在大約10英尺,它們共享一個通用的剪貼板,這意味著內(nèi)容可以從一個設(shè)備的應(yīng)用和復(fù)制粘貼到一個應(yīng)用程序運行在一個單獨的設(shè)備。
這樣一來,iPhone上的應(yīng)用程序就有可能讀取其他聯(lián)網(wǎng)設(shè)備剪貼板上的敏感數(shù)據(jù)。這可能包括比特幣地址、密碼或臨時存儲在附近Mac或iPad剪貼板上的電子郵件信息。盡管運行在單獨的設(shè)備上,iOS應(yīng)用程序可以輕松讀取存儲在其他機(jī)器上的敏感數(shù)據(jù)。
“這是非常、非常危險的,”Mysk在周五的一次采訪中說,指的是應(yīng)用程序不加區(qū)分地讀取剪貼板數(shù)據(jù)。“這些應(yīng)用程序是閱讀剪貼板,沒有理由這樣做。一個有文本框來輸入文本的應(yīng)用就沒有理由去讀剪貼板上的文本。”
當(dāng)Haj Bakry和Mysk在3月份發(fā)表了他們的研究成果時,本周iOS 14測試版的發(fā)布再次成為了頭條新聞。蘋果新增的一項新功能是,每當(dāng)應(yīng)用程序閱讀剪貼板內(nèi)容時,都會出現(xiàn)橫幅警告。隨著大量的人開始測試beta版本,他們很快就意識到有多少應(yīng)用程序參與了實踐,以及它們這么做的頻率有多高。
這段YouTube視頻自周二發(fā)布以來,點擊量已超過87000次。視頻顯示了觸發(fā)新警告的一小部分應(yīng)用程序
最近的頭條尤其關(guān)注TikTok,這在很大程度上是因為它擁有龐大的活躍用戶群(據(jù)報道,TikTok擁有8億活躍用戶,僅在2018年上半年,iOS的安裝量就達(dá)到1.04億次,成為同期下載量最多的應(yīng)用)。
由于其他原因,TikTok的持續(xù)監(jiān)聽受到了額外的審查。今年3月,這家視頻分享服務(wù)提供商在接受英國《每日電訊報》采訪時表示,將在未來幾周內(nèi)停止這種做法。Mysk表示,該應(yīng)用程序從未停止監(jiān)控。此外,周三Twitter上的一個帖子透露,每當(dāng)用戶在撰寫評論時輸入標(biāo)點符號或點擊空格鍵,剪貼板就會被讀取。這意味著,讀取剪貼板的速度可以大約每秒鐘發(fā)生一次,比3月份的研究中記錄的速度快得多,當(dāng)時的研究發(fā)現(xiàn),當(dāng)應(yīng)用程序被打開或重新打開時,監(jiān)控就會發(fā)生。
繁殖:1。在你的剪貼板上寫點東西。從筆記或網(wǎng)站上復(fù)制一些文本。打開TikTok并開始在任何文本字段3中輸入。你可以從ios14測試版的應(yīng)用程序“粘貼”中了解到——但在這個例子中,我沒有請求粘貼,而且沒有文本出現(xiàn)在UI中
在一份聲明中,TikTok代表寫道:
6月22日,iOS14發(fā)布了測試版,用戶在使用一些流行應(yīng)用時可以看到通知。對于TikTok來說,這是由一項旨在識別重復(fù)性垃圾行為的功能觸發(fā)的。我們已經(jīng)向app Store提交了更新版本,刪除了反垃圾郵件功能,以消除任何潛在的混亂。
TikTok致力于保護(hù)用戶的隱私,并對我們的應(yīng)用程序如何工作保持透明。我們期待著在今年晚些時候歡迎外部專家到我們的透明度中心來。
在后臺,一位發(fā)言人表示,TikTok在Android上從未實現(xiàn)過反垃圾郵件功能。
我發(fā)送了后續(xù)問題,問:(1)Android版的TikTok是否出于其他原因監(jiān)控了剪貼板,(2)是否從設(shè)備上上傳了剪貼板文本,(3)為什么TikTok沒有按照3月份承諾的那樣移除監(jiān)控。該發(fā)言人尚未作出回應(yīng)。如果稍后有回復(fù),這篇文章將會更新。
總而言之,研究人員發(fā)現(xiàn)以下iOS應(yīng)用程序在每次打開時都在莫名其妙地讀取用戶的剪貼
報告發(fā)表后不久,“快樂10%:冥想和今夜酒店”承諾停止這種行為,并迅速執(zhí)行。Mysk說,TikTik也承諾停止,但從未這樣做。他說,其他應(yīng)用程序也沒有停止。
在某些情況下,讀取剪貼板可以讓應(yīng)用程序更有用。例如,UPS的iPhone應(yīng)用程序從剪貼板中提取文本,如果文本與快遞號碼的特征相符,該應(yīng)用程序就會提示用戶跟蹤相應(yīng)的包裹。谷歌Chrome還可以提取文本,如果是URL,則會提示用戶瀏覽到該文本。Pixelmator圖片編輯器只讀取圖像數(shù)據(jù)。如果是,Pixelmator會提示用戶打開它進(jìn)行編輯。在這三種情況下,數(shù)據(jù)讀取都有一個清晰的用例,并且是透明的。
相比之下,TikTok和其他有問題的應(yīng)用程序訪問剪貼板沒有明確的原因,也沒有任何跡象表明他們這樣做。對于許多應(yīng)用程序來說,很難看到任何合法的性能或可用性的訪問原因。Mysk表示,蘋果計劃將他和哈吉·巴克里的研究歸功于iOS 14中新增剪貼板通知的催化劑。
Haj Bakry和Mysk報道的剪貼板引起了人們的擔(dān)憂,可能會擴(kuò)展到使用Android和其他操作系統(tǒng)的用戶。Mysk表示,在Android應(yīng)用程序中閱讀剪貼板“甚至比iOS更糟糕”,因為操作系統(tǒng)的api要寬松得多。例如,在版本10之前,Android允許在后臺運行的應(yīng)用程序讀取剪貼板。相比之下,iOS應(yīng)用程序只能在激活時(即前臺運行時)讀取或查詢剪貼板。
Mysk表示,蘋果的通知功能是一個良好的開端,但最終,蘋果和谷歌應(yīng)該做得更多。一種可能是使剪貼板訪問成為標(biāo)準(zhǔn)權(quán)限,就像現(xiàn)在訪問麥克風(fēng)或相機(jī)一樣。另一種可能是要求應(yīng)用程序開發(fā)人員精確地披露訪問了哪些剪貼板數(shù)據(jù)以及應(yīng)用程序?qū)@些數(shù)據(jù)做了什么。
目前,用戶應(yīng)該知道,任何存儲在剪貼板中的數(shù)據(jù)——盡管肉眼看不出來——都可以被應(yīng)用程序定期訪問,而這些應(yīng)用程序在很多情況下甚至沒有安裝在本地設(shè)備上。當(dāng)有疑問時,通過復(fù)制字符、單詞或其他無害數(shù)據(jù)塊刷新剪貼板數(shù)據(jù)。
2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號:閩ICP備19027007號-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。