苹果公司近日在全球开发者大会(WWDC)上发表 iOS 14,资安专家指出,这款最新操作系统的安全通知,揭露抖音(TikTok)等应用程序 App 会偷偷读取 iPhone 的剪贴簿。
而且因为苹果有通用剪贴簿(universal clipboard)功能,用户在 Mac 或 iPad 上复制的内容可以透过 iPhone 读取。换言之,如果你的 iPhone 抖音 App 状态为使用中,基本上抖音就能读到你在其他苹果装置上复制的任何内容,包括你的密码、工作文件、敏感电邮、财务资料等等。
Okay so TikTok is grabbing the contents of my clipboard every 1-3 keystrokes. iOS 14 is snitching on it with the new paste notification pic.twitter.com/OSXP43t5SZ
— Jeremy Burge (@jeremyburge) June 24, 2020
数码障碍公司(Digital Barriers)创办人兼首席执行官、网络安全专家多夫曼(Zak Doffman)在富比世(Forbes)网站26日刊登的专文中,作上述表示。
多夫曼在文中指出,其实资安研究员今年稍早就发现抖音等 App 能存取剪贴簿。由于抖音还有其他安全疑虑,加上它的中国背景,消息特别引人关注。当时抖音的母公司字节跳动把问题归咎于旧版的Google 广告软件开发套件(SDK),并宣称问题已经解决。
然而 iOS 14 的安全和隐私修订推出后,当场抓包抖音并未解决问题。
根据抖音最新说法,现在问题出在一个反垃圾讯息功能,公司已把相关功能移除,并送出更新版程式给 App Store。
抖音也告诉多夫曼,其平台“致力于保障用户隐私,让我们 App 的运作方式公开透明”,“期待今年稍晚外部专家光临我们的透明中心(Transparency Center)”。
多夫曼建议所有 iPhone 用户应立即把抖音程式更新至最新版;更新前则须谨记使用抖音时,剪贴簿资料可能外泄。
多夫曼并指出,有问题的 App 不只抖音。苹果预计今年秋天对一般用户释出 iOS 14,届时若有 App读取用户复制到剪贴簿的最新内容,iPhone 都会跳出警示。这些 Ap p势必都得修正它们有意无意存取剪贴簿的行为。
多夫曼写道,目前还没有安卓(Android)系统用户有无类似问题的说法。(首图图片来源:shutterstock)
