剪贴板窥探仍然在许多流行的iOS应用程序中盛行

2020-06-29 01:16:22

剪贴板窥探应用程序的滑稽行为并不局限于TikTok,因为3月份发现有50多个应用程序被发现从iOS剪贴板访问数据,几个月后仍在继续这种做法。

作为今年秋天iOS14和iPadOS14新功能的一部分,苹果包括了一些旨在帮助提高用户数据隐私的措施。其中一项功能将提醒用户,无论何时应用程序试图访问剪贴板,以便教育用户哪些类型的应用程序可能访问他们的数据。

这一功能引发了一些报道,提到了3月份发现的指控,即TikTok等应用程序经常访问剪贴板并抓取内容,即使该应用程序被放在后台也是如此。自那以后,TikTok公开让步,声称是一项垃圾邮件减少功能触发了这一机制,并表示它已在提交App Store审批的更新版本的应用程序中被删除。

然而,尽管TikTok是3月份被发现的最引人注目的应用程序,但其他被发现在当时做同样事情的应用程序仍在继续这种做法。在Ars Technica的一份报告中,研究人员汤米·迈斯克(Tommy Mysk)和塔拉尔·哈吉·巴克里(Talal Haj Bakry)发现的56个剪贴板中,有54个仍在阅读剪贴板。

这份应用列表包括许多流行的游戏,包括微博和Zoosk等社交应用,NPR和福克斯新闻等新闻应用,“水果忍者”和三个不同版本的“宝石”等游戏,以及Accuweet和Hotels.com等其他应用。

只有两个应用程序改变了他们的行为,在最初的报告流传后不久,快乐程度提高了10%:冥想和今夜酒店。虽然TikTok当时承诺采取行动,但它没有做出任何改变来阻止窥探。

虽然剪贴板的真正功能并不总是用户想要的那样,但剪贴板是用户向应用程序提供按预期方式使用的数据的一种方式。应用程序具有拉取存储在剪贴板中的数据的能力,这意味着如果它进行这样的窥探,它可能会访问不打算由它使用的数据。

随着苹果生态系统中通用剪贴板的加入,这类应用程序进一步增加了从剪贴板中提取数据的风险,这些数据甚至不是从安装剪贴板的设备上添加的。例如,复制到Mac上的文本可以被iPhone上的剪贴板窥探应用程序读取。

这是非常非常危险的,迈斯克周五说。这些应用程序正在读取剪贴板,没有理由这样做。没有文本字段来输入文本的应用程序没有理由阅读剪贴板文本。

Mysk补充说,研究人员的工作被归功于iOS 14剪贴板通知功能的创建。

AppleInsider与会员有合作关系,通过会员链接购买的产品可能会赚取佣金。这些合作关系不会影响我们的编辑内容。