TikTok和其他32个iOS应用程序仍然可以窥探你的敏感剪贴板数据-密码、比特币地址和剪贴板中的任何其他东西都是免费的。

今年3月，研究人员发现，包括中国拥有的社交媒体和视频分享现象TikTok在内的40多款iOS应用程序对隐私的窃取令人担忧。TikTok现象在互联网上掀起了一场风暴。尽管TikTok誓言要遏制这种做法，但它仍在继续访问苹果用户的一些最敏感的数据，其中包括密码、加密货币钱包地址、账户重置链接和个人信息。3月份发现的另外53款应用程序也没有停止。

侵犯隐私是因为应用程序反复读取恰好驻留在剪贴板中的任何文本，电脑和其他设备用剪贴板存储从密码管理器和电子邮件程序等程序中剪切或复制的数据。研究人员塔拉尔·哈吉·贝克里(Talal Haj Bakry)和汤米·迈斯克(Tommy Mysk)发现，在没有明确原因的情况下，这些应用程序故意调用了一个从用户剪贴板检索文本的iOS编程接口。

在许多情况下，隐蔽读取并不局限于存储在本地设备上的数据。如果iPhone或iPad与其他苹果设备使用相同的苹果ID，并且彼此之间的距离约为10英尺，那么所有这些设备都可以共享一个通用剪贴板，这意味着可以从一台设备的应用程序复制内容，并粘贴到在另一台设备上运行的应用程序中。

这为iPhone上的应用程序读取其他连接设备剪贴板上的敏感数据留下了可能性。这可能包括暂时存储在附近Mac或iPad剪贴板上的比特币地址、密码或电子邮件消息。尽管在单独的设备上运行，但iOS应用程序可以轻松读取存储在其他机器上的敏感数据。

“这是非常非常危险的，”Mysk在周五的一次采访中说，他指的是这些应用程序不分青红皂白地读取剪贴板数据。“这些应用程序正在阅读剪贴板，没有理由这样做。没有文本字段来输入文本的应用程序没有理由阅读剪贴板文本。“。

哈吉·巴克里(Haj Bakry)和迈斯克(Mysk)在3月份发表了他们的研究报告，本周，随着iOS 14开发者测试版的发布，这些入侵应用再次成为头条新闻。苹果增加了一项新功能，每当应用读取剪贴板内容时，都会提供横幅警告。随着大量的人开始测试测试版，他们很快就开始意识到有多少应用程序参与了这种做法，以及他们这样做的频率有多高。

这段YouTube视频自周二发布以来已经获得了超过8.7万的点击量，展示了触发新警告的应用程序的一小部分样本。

最近的头条新闻特别关注TikTok，很大程度上是因为它拥有庞大的活跃用户基础(据报道，仅2018年上半年就有8亿iOS安装，使其成为同期下载量最高的应用)。

相比之下，TikTok和其他违规应用程序会在没有明确原因的情况下访问剪贴板，也没有迹象表明他们正在这样做。对于许多应用程序来说，很难看到访问权限有任何合法的性能或可用性原因。Mysk说，苹果计划将他和Haj Bakry的研究归功于他和Haj Bakry的研究，认为这是iOS14中新的剪贴板通知的催化剂。

据哈吉·巴克里和迈斯克报道，剪贴板上的内容引发了人们的担忧，可能会延伸到那些使用Android或其他操作系统的人。Mysk说，Android应用中的剪贴板阅读比iOS“更糟糕”，因为操作系统的API要宽松得多。例如，在版本10之前，Android允许后台运行的应用程序读取剪贴板。相比之下，iOS应用程序只有在活动时才能读取或查询剪贴板。

Mysk说，苹果的通知功能是一个良好的开端，但最终，苹果和谷歌应该做得更多。一种可能性是使剪贴板访问成为标准权限，就像现在访问麦克风或摄像头一样。另一种可能性是要求应用程序开发人员准确披露哪些剪贴板数据被访问，以及应用程序对这些数据做了什么处理。

目前，用户应该意识到，剪贴板中存储的任何数据-尽管肉眼看不出来-都可以被应用程序定期访问，而在许多情况下，这些应用程序甚至不是本地安装在设备上的。如果有疑问，可以通过复制字符、单词或其他无害数据来刷新剪贴板数据。