警告--苹果突然抓到TikTok秘密监视数百万iPhone用户

正如我在6月23日报道的，苹果已经修复了iOS14中的一个严重问题，该问题将于今年秋天发布，在该问题中，应用程序可以秘密访问用户设备上的剪贴板。一旦新的操作系统发布，每当应用程序读取复制到剪贴板的最后一件东西时，用户都会收到警告。正如我今年早些时候警告的那样，这对用户来说不仅仅是理论上的风险，无数的应用程序已经被发现以这种方式滥用隐私。

令人担忧的是，安全研究人员塔拉勒·哈吉·巴克里(Talal Haj Bakry)和汤米·迈斯克(Tommy Mysk)发现的其中一款应用程序是中国的TikTok。考虑到这款应用引发的其他安全担忧，以及由于其中国起源而引发的更广泛的担忧，这成为了一个头条新闻。当时，TikTok的所有者字节跳动(Byteance)告诉我，这个问题与使用过时的谷歌广告SDK有关，该SDK正在被更换。

嗯，也许不是。随着iOS14测试版中新的剪贴板警告的发布，现在与开发者一起，TikTok似乎以一种相当不寻常的方式被抓到滥用剪贴板。因此，TikTok似乎并没有像承诺的那样，在4月份阻止这种侵入性的做法。

根据TikTok的说法，这个问题现在是“由一项旨在识别重复的垃圾行为的功能引发的”，并告诉我，它已经“向应用商店提交了应用程序的更新版本，删除了反垃圾功能，以消除任何潜在的混淆”。换句话说：我们被抓到做了一些不应该做的事情，我们匆忙解决了问题。

TikTok还告诉我，该平台“致力于保护用户隐私，并对我们的应用程序的工作方式保持透明。”对此无可奉告。TikTok补充说，它“期待着在今年晚些时候欢迎外部专家加入我们的透明中心”。

当我报道最初的TikTok剪贴板问题时，该公司坚称这不是他们的问题，与他们应用程序中的一个过时的库有关。“剪贴板访问问题，”一位发言人告诉我，“是由于第三方SDK，在我们的例子中是旧版本的Google ADS SDK，所以我们不能通过这个访问信息(大概他们可以，但我们不能说那个)。”我们正在进行更新，以便第三方SDK将不再拥有访问权限。“。

TikTok向我保证，它正在被修复，并质疑暗示这是一个问题的报道。“这是一个谷歌广告SDK的问题，”他们在后来的一封电子邮件中再次保证，“所以我们需要更改我们使用的SDK的版本。TikTok无法访问数据，但我们会不顾一切地进行更新，以解决这个问题。”

现在，苹果公司对iOS14安全和隐私的改变很受欢迎，但他们仍然当场抓到了他们不应该做的事情。他们说的一些事情已经修复了。TikTok并不孤单-其他应用程序现在需要更改有意或无意的剪贴板访问。但考虑到TikTok之前的覆盖范围和更广泛的问题，TikTok是被抓住的应用程序中最受瞩目和最具图腾意义的。

这个漏洞最严重的问题是苹果的通用剪贴板功能，这意味着我在Mac或iPad上复制的任何东西都可以被iPhone读取，反之亦然。因此，如果你在工作时手机上的TikTok处于活动状态，这款应用程序基本上可以读取你在另一台设备上复制的任何东西：密码、工作文档、敏感电子邮件和财务信息。什么都行。

今年早些时候，当TikTok首次曝光时，安全研究人员承认，无法判断这款应用可能在对用户数据做什么，它的滥用在许多其他应用的混合中消失了。现在感觉不一样了。iOS用户可以放心了，他们知道苹果最新的安全措施将迫使TikTok做出改变，这本身就表明了这一修复是多么关键。然而，对于Android用户来说，目前还没有关于这对他们是否也是一个问题的说法。

研究人员本周早些时候告诉我：“苹果对我们强调的风险不屑一顾，并解释说，iOS已经有了应对所有风险的机制。”“但苹果提供的机制在保护用户隐私方面并不有效。”他们解释说，在他们最初的报告之后，“这个话题引发了巨大的公众互动--不仅是iOS用户，而且Android用户也要求对使用系统范围剪贴板的应用程序进行更多的限制和透明度。”

苹果最初对剪贴板漏洞不屑一顾，认为这是一个问题，直到媒体对安全研究进行了大量报道后，苹果才提供了修复。这一最新消息表明，解决这一问题将是多么重要。

所有iPhone用户都应该在TikTok发布后尽快更新到最新版本-考虑到它正在积极阅读你的剪贴板，在更新之前使用这款应用程序时，你可能会记住这一点。

利用全球专家的最新见解，将福布斯的最佳信息转移到您的收件箱中。

在推特(Twitter)或领英(LinkedIn)上关注我。