北京時(shí)間 2020 年 6 月 23 日，蘋果在 WWDC 2020 全球開發(fā)者大會(huì)上發(fā)布了 iOS 14.0 Developer Beta（開發(fā)者測試）版和 iOS 14.0 Public Beta（公開測試）版。

iOS 14 功能眾多，其中就有一項(xiàng)隱私保護(hù)功能——第三方應(yīng)用訪問 iPhone 剪貼板時(shí)，用戶將收到提醒消息。

但在使用 iOS 14 測試版時(shí)，一名領(lǐng)英用戶卻發(fā)現(xiàn)了一個(gè)漏洞，用戶隱私疑似受到了侵犯。

領(lǐng)英侵犯用戶隱私？

7 月 3 日，一位名為“DonCubed”的網(wǎng)友發(fā)推表示：

每次使用鍵盤時(shí)，領(lǐng)英都會(huì)復(fù)制我剪貼板上的內(nèi)容。我用 iPad Pro 的時(shí)候，領(lǐng)英把我 MacBook Pro 剪貼板里面的東西復(fù)制了過來。

在這條推文底下，“DonCubed”還附上了一段錄屏。不難發(fā)現(xiàn)，用戶在輸入文字時(shí)，屏幕上方不斷出現(xiàn)著內(nèi)容為“LinkedIn pasted from another device”（領(lǐng)英復(fù)制了您另一設(shè)備剪貼板里的內(nèi)容）的提示。

雷鋒網(wǎng)注意到，一位領(lǐng)英副總裁“Erran Berger”回應(yīng)稱：

經(jīng)過對(duì)代碼路徑的跟蹤，我們發(fā)現(xiàn)這種情況只是在對(duì)剪貼板內(nèi)容和文本框中當(dāng)前鍵入的內(nèi)容進(jìn)行等值校驗(yàn)。我們并未存儲(chǔ)或傳輸任何剪貼板內(nèi)容。

近日，一位領(lǐng)英發(fā)言人向外媒 ZDNet 表示，用戶發(fā)現(xiàn)的上述情況是一個(gè) Bug，針對(duì)這一 Bug 的修復(fù)程序正在開發(fā)中，將會(huì)盡快向用戶提供。

對(duì)此，推特有網(wǎng)友“DonCubed”支招，非常簡單粗暴：

換安卓吧。

另一邊，微博網(wǎng)友也炸了鍋。

53 款應(yīng)用被披露

實(shí)際上，出現(xiàn)類似情況的 APP 不止領(lǐng)英一個(gè)。

一周前，名為“Jeremy Burge”的網(wǎng)友在推文中表示：

我每敲鍵盤 1-3 次，TikTok 就會(huì)粘貼剪貼板中的內(nèi)容。

這位網(wǎng)友也附上了一段錄屏，視頻中 iPhone 一直在不斷進(jìn)行提醒。

外媒 Naked Security 報(bào)道稱，早在 2020 年 3 月，就有研究人員 Talal Haj Bakry 和 Tommy Mysk 透露，Android 和 iOS 端 TikTok 可自動(dòng)讀取用戶復(fù)制到設(shè)備剪貼板上的任何內(nèi)容，比如自拍、密碼、銀行賬戶信息、比特幣地址。據(jù)稱，獲取的數(shù)據(jù)將用于廣告與跟蹤。

值得關(guān)注的是，這種剪貼板內(nèi)容復(fù)制模式不僅適用于設(shè)備的本地?cái)?shù)據(jù)，也可用于附近設(shè)備（指共享蘋果 ID、距離在 10 英尺內(nèi)的兩臺(tái)設(shè)備）。

而 iOS 14 測試版及其隱私保護(hù)功能一推出，不少用戶便發(fā)現(xiàn)了端倪。因此，TikTok 回應(yīng)：

這是因?yàn)榇驌衾u(píng)論、惡意刷評(píng)論的功能誤觸了系統(tǒng)提醒。一些用戶會(huì)不斷刷沒有意義的垃圾評(píng)論，而他們的主要方式就是點(diǎn)擊文本框、復(fù)制、粘貼、發(fā)送。因此，TikTok 上線了相應(yīng)功能，但該功能并不會(huì)訪問用戶剪貼板的任何內(nèi)容。

不過，外媒 Naked Security 于當(dāng)?shù)貢r(shí)間 6 月 30 日公布了目前已發(fā)現(xiàn)的出現(xiàn)了類似情況的 53 款 APP 的完整名單（如下圖）。

名單中包括了不少我們并不陌生的 APP，如紐約時(shí)報(bào)、CNBC、路透社、經(jīng)濟(jì)學(xué)人、華爾街日?qǐng)?bào)、微博等等。

那么，既然 iOS 端出現(xiàn)了這樣的情況，是不是就像網(wǎng)友說的換安卓就可以了呢？

外媒 Naked Security 也表示，安卓端的情況可能更為嚴(yán)重——研究人員 Tommy Mysk 表示，考慮到 Android API 要寬松得多，Android 的情況應(yīng)該比 iOS 更糟。

例如，Android 10 發(fā)布之前，后臺(tái)運(yùn)行的應(yīng)用也可讀取剪貼板，而 iOS 端應(yīng)用只有在前臺(tái)運(yùn)行時(shí)才能這樣做。

引用來源：

https://www.zdnet.com/article/linkedin-says-ios-clipboard-snooping-after-every-key-press-is-a-bug-will-fix/

https://nakedsecurity.sophos.com/2020/06/30/ios-14-flags-tiktok-53-other-apps-spying-on-iphone-clipboards/

雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。