TikTok和其他53个iOS应用程序仍在窥探您的敏感剪贴板数据

今年3月，研究人员发现，包括中国拥有的社交媒体和视频分享现象TikTok在内的40多款iOS应用程序对隐私的窃取令人担忧。TikTok现象在互联网上掀起了一场风暴。尽管TikTok誓言要遏制这种做法，但它仍在继续访问苹果用户的一些最敏感的数据，其中包括密码、加密货币钱包地址、账户重置链接和个人信息。3月份发现的另外53款应用程序也没有停止。

侵犯隐私是因为应用程序反复读取恰好驻留在剪贴板中的任何文本，电脑和其他设备用剪贴板存储从密码管理器和电子邮件程序等程序中剪切或复制的数据。研究人员塔拉尔·哈吉·贝克里(Talal Haj Bakry)和汤米·迈斯克(Tommy Mysk)发现，在没有明确原因的情况下，这些应用程序故意调用了一个从用户剪贴板检索文本的iOS编程接口。

在许多情况下，隐蔽读取并不局限于存储在本地设备上的数据。如果iPhone或iPad与其他苹果设备使用相同的苹果ID，并且彼此之间的距离约为10英尺，那么所有这些设备都可以共享一个通用剪贴板，这意味着可以从一台设备的应用程序复制内容，并粘贴到在另一台设备上运行的应用程序中。

这为iPhone上的应用程序读取其他连接设备剪贴板上的敏感数据留下了可能性。这可能包括暂时存储在附近Mac或iPad剪贴板上的比特币地址、密码或电子邮件消息。尽管在单独的设备上运行，但iOS应用程序可以轻松读取存储在其他机器上的敏感数据。

“这是非常非常危险的，”Mysk在周五的一次采访中说，他指的是这些应用程序不分青红皂白地读取剪贴板数据。“这些应用程序正在阅读剪贴板，没有理由这样做。没有文本字段来输入文本的应用程序没有理由阅读剪贴板文本。“。

哈吉·巴克里(Haj Bakry)和迈斯克(Mysk)在3月份发表了他们的研究报告，本周，随着iOS 14开发者测试版的发布，这些入侵应用再次成为头条新闻。苹果增加了一项新功能，每当应用读取剪贴板内容时，都会提供横幅警告。随着大量的人开始测试测试版，他们很快就开始意识到有多少应用程序参与了这种做法，以及他们这样做的频率有多高。

这段YouTube视频自周二发布以来已经获得了超过8.7万的点击量，展示了触发新警告的应用程序的一小部分样本。

最近的头条新闻特别关注TikTok，很大程度上是因为它拥有庞大的活跃用户基础(据报道，仅2018年上半年就有8亿iOS安装，使其成为同期下载量最高的应用)。

TikTok的持续窥探由于其他原因受到了额外的审查。当3月份被召唤时，这家视频共享提供商告诉英国出版物“每日电讯报”(The Telegraph)，它将在未来几周内结束这种做法。Mysk表示，该应用程序从未停止监控。更重要的是，周三的一条Twitter帖子显示，每次用户在撰写评论时输入标点符号或点击空格键，剪贴板上的阅读都会发生。这意味着剪贴板读取可能每秒钟发生一次左右，比3月份的研究中记录的速度要激进得多，该研究发现，监控发生在应用程序打开或重新打开时。

复制：1。在你的剪贴板上放些东西。例如，从Notes或网站复制一些文本2.打开TikTok并开始在任意文本字段中键入内容3.每次“粘贴”应用程序时，您都会从iOS 14测试版中学习-但在这种情况下，我没有请求它，并且这些文本都不会出现在UI中。

在6月22日iOS14测试版发布后，用户在使用一些流行的应用程序时看到了通知。对于TikTok来说，这是由一项旨在识别重复的垃圾行为的功能触发的。我们已经向App Store提交了应用程序的更新版本，删除了反垃圾邮件功能，以消除任何潜在的混淆。

TikTok致力于保护用户隐私，并对我们的应用程序的工作方式保持透明。我们期待着在今年晚些时候欢迎外部专家加入我们的透明中心。

我发送了后续问题，询问(1)用于Android的TikTok版本是否出于任何其他原因监控剪贴板，(2)是否从设备上传了任何剪贴板文本，以及(3)为什么TikTok没有像3月份承诺的那样删除监控。发言人尚未做出回应。如果稍后有回复，本帖子将会更新。

总而言之，研究人员发现，以下iOS应用程序在每次打开应用程序时都在读取用户的剪贴板数据，而没有明确的理由这样做：

报告发表后不久，“10%更快乐：冥想和今夜酒店”承诺停止这种行为，并迅速跟进。Mysk说，TikTik也承诺停止，但从未这样做。他说，其他应用程序也都没有停止。

在某些情况下，剪贴板阅读可以让应用程序变得更有用。例如，UPS iPhone应用程序会从剪贴板中提取文本，如果文本与跟踪号的特征匹配，应用程序会提示用户跟踪相应的包裹。Google Chrome还会拉出文本，如果是URL，则会提示用户浏览。Pixelmator照片编辑器仅在是图像的情况下才读取数据。如果是，Pixelmator将提示用户打开它进行编辑。在所有三种情况下，数据读取都有明确的用例，并且是透明的。

相比之下，TikTok和其他违规应用程序会在没有明确原因的情况下访问剪贴板，也没有迹象表明他们正在这样做。对于许多应用程序来说，很难看到访问权限有任何合法的性能或可用性原因。Mysk说，苹果计划将他和Haj Bakry的研究归功于他和Haj Bakry的研究，认为这是iOS14中新的剪贴板通知的催化剂。

据哈吉·巴克里和迈斯克报道，剪贴板上的内容引发了人们的担忧，可能会延伸到那些使用Android或其他操作系统的人。Mysk说，Android应用中的剪贴板阅读比iOS“更糟糕”，因为操作系统的API要宽松得多。例如，在版本10之前，Android允许后台运行的应用程序读取剪贴板。相比之下，iOS应用程序只有在活动时才能读取或查询剪贴板。

Mysk说，苹果的通知功能是一个良好的开端，但最终，苹果和谷歌应该做得更多。一种可能性是使剪贴板访问成为标准权限，就像现在访问麦克风或摄像头一样。另一种可能性是要求应用程序开发人员准确披露哪些剪贴板数据被访问，以及应用程序对这些数据做了什么处理。

目前，用户应该意识到，剪贴板中存储的任何数据-尽管肉眼看不出来-都可以被应用程序定期访问，而在许多情况下，这些应用程序甚至不是本地安装在设备上的。如果有疑问，可以通过复制字符、单词或其他无害数据来刷新剪贴板数据。