不只 TikTok 抖音!iOS 14 揭露多款 App 都會偷看 iPhone 剪貼簿

Apple 蘋果最新一代系統 iOS 14 在 WWDC 開發者大會公開後,已經開放給開發者進行測試。然而資安專家們透過 iOS 14 系統安全通知功能卻發現 TikTok 抖音、Microsoft Teams …等多款第三方 App 可以在使用者不知情的狀況下偷看讀取 iPhone 剪貼簿內容,包複製的密碼、信用卡資訊、文字…等,也就是說使用者的資訊安全漏洞大開。


(截圖來源:https://twitter.com/jeremyburge/status/1275832600146391042

Emojipedia 表情圖示百科 CEO Jeremy Burge (@jeremyburge) 在 Twitter 秀了一段影片,內容是他在 iOS 14 開啟 TikTok 抖音時,系統不停跳出提醒,因而發現抖音每隔幾秒鐘都會讀取剪貼簿功能。

(資料來源:https://twitter.com/jeremyburge/status/1275832600146391042

Apple 蘋果這項提醒功能,主要目的是為了保護使用者個資,因為 Apple 旗下裝置都支援 Universal Clipboard 通用剪貼簿功能,使用者在 Mac 或 iPad 上複製或剪下的文字或內容都可以 iPhone 讀取,也因此在 iOS 14 系統中,Apple 蘋果新增第三方 App 讀取剪貼簿會自動向使用者發出提醒通知功能。

雖然說剪貼簿的資料都是微不足道的內容,但是有時侯難免會複製密碼、信用卡號…等個人資訊內容,因此看似不起眼一個動作其實足以掀起資安風暴,更何況遊戲、新聞、影音軟體…等多數 App 所需的資訊並不需要讀取使用者的剪貼簿。


(截圖來源:https://twitter.com/jeremyburge/status/1275832600146391042

儘管 Jeremy Burge 在 Twitter 推特公布消息時,以 TikTok 抖音為範例拍攝影片,但有問題的不只有 TikTok 抖音,包括 Apollo for Reddit、Microsoft Teams …等 App 也有類似情況。

不過,Jeremy Burge 認為像是 Apollo for Reddit 等 App 讀取剪貼簿是為了確認是否可以使用剪貼簿的內容,而類似 Microsoft Teams 等其他 App 的目的並不明確。Jeremy Burge 也透露即使測試過程中沒有發現剪貼簿內容被濫用,頻繁地讀取剪貼簿仍然會覺得奇怪。


(截圖來源:https://twitter.com/jeremyburge/status/1276146864895778821

Jeremy Burge 認為 iOS 14 的讀取剪貼簿提醒,應該進一步提示 App 讀取的內容與用途,因為使用者不知道接下來會發生什麼事。

使用者無法分辨哪些 App 讀取剪貼簿是為了「確認」功能,那些 App 偷看剪貼簿是為了將內容剪貼發送到遠端伺服器,所以很希望能有一種檢測 App 讀取剪貼簿及應用的功能。


(截圖來源:https://twitter.com/jeremyburge/status/1276197226616950791

此外,Jeremy Burge 更進一步提醒會偷看剪貼簿的應用程式不只有他舉例的這幾個 App ,先前資安人員 Tommy Mysk 在 2020 年 3 月就已經公布多達 56 款 App 應用程式會在未經使用者同意的狀況下讀取剪貼簿,而且這些 App 涵蓋範圍相當廣泛,不只社群網路工具、遊戲、新聞…等也都會偷偷讀取使用者的剪貼簿內容。

偷看剪貼簿的 App 如下:

  • 新聞類:
    ABC News — com.abcnews.ABCNews
    Al Jazeera English — ajenglishiphone
    CBC News — ca.cbc.CBCNews
    CBS News — com.H443NM7F8H.CBSNews
    CNBC — com.nbcuni.cnbc.cnbcrtipad
    Fox News — com.foxnews.foxnews
    News Break — com.particlenews.newsbreak
    New York Times — com.nytimes.NYTimes
    NPR — org.npr.nprnews
    ntv Nachrichten — de.n-tv.n-tvmobil
    Reuters — com.thomsonreuters.Reuters
    Russia Today — com.rt.RTNewsEnglish
    Stern Nachrichten — de.grunerundjahr.sternneu
    The Economist — com.economist.lamarr
    The Huffington Post — com.huffingtonpost.HuffingtonPost
    The Wall Street Journal — com.dowjones.WSJ.ipad
    Vice News — com.vice.news.VICE-News
  • 遊戲類:
    8 Ball Pool — com.miniclip.8ballpoolmult
    AMAZE!!! — com.amaze.game
    Bejeweled — com.ea.ios.bejeweledskies
    Block Puzzle —Game.BlockPuzzle
    Classic Bejeweled — com.popcap.ios.Bej3
    Classic Bejeweled HD —com.popcap.ios.Bej3HD
    FlipTheGun — com.playgendary.flipgun
    Fruit Ninja — com.halfbrick.FruitNinjaLite
    Golfmasters — com.playgendary.sportmasterstwo
    Letter Soup — com.candywriter.apollo7
    Love Nikki — com.elex.nikki
    My Emma — com.crazylabs.myemma
    Plants vs. Zombies™ Heroes — com.ea.ios.pvzheroes
    Pooking – Billiards City — com.pool.club.billiards.city
    PUBG Mobile — com.tencent.ig
    Tomb of the Mask — com.happymagenta.fromcore
    Tomb of the Mask: Color — com.happymagenta.totm2
    Total Party Kill — com.adventureislands.totalpartykill
    Watermarbling — com.hydro.dipping
  • 社群網路類:
    TikTok — com.zhiliaoapp.musically
    ToTalk — totalk.gofeiyu.com
    Tok — com.SimpleDate.Tok
    Truecaller — com.truesoftware.TrueCallerOther
    Viber — com.viber
    Weibo — com.sina.weibo
    Zoosk — com.zoosk.Zoosk
    Apollo for Reddit (資料來源: Jeremy Burge
    Microsoft Teams (資料來源: Jeremy Burge
  • 其他:
    10% Happier: Meditation —com.changecollective.tenpercenthappier
    5-0 Radio Police Scanner — com.smartestapple.50radiofree
    Accuweather — com.yourcompany.TestWithCustomTabs
    AliExpress Shopping App — com.alibaba.iAliexpress
    Bed Bath & Beyond — com.digby.bedbathbeyond
    Dazn — com.dazn.theApp
    Hotels.com — com.hotels.HotelsNearMe
    Hotel Tonight — com.hoteltonight.prod
    Overstock — com.overstock.app
    Pigment – Adult Coloring Book — com.pixite.pigment
    Recolor Coloring Book to Color — com.sumoing.ReColor
    Sky Ticket — de.sky.skyonline
    The Weather Network — com.theweathernetwork.weathereyeiphone

延伸閱讀:

藍牙傳資安漏洞?BIAS 偽裝藍牙讓 iPhone、Android 用戶全遭殃!

防疫當頭,在家辦公的資安也很重要!分享九大秘訣

行動廣告軟體助長第六代網路攻擊,2019 年全球 27% 公司曾遭攻擊

283 英鎊購買可防 5G 電磁波的「5GBioShield」裝置,拆開卻發現只是 USB 隨身碟

研究發現網路犯罪地下市場似乎已遭瓦解,犯罪手法進行轉變

小心!變種勒索軟體攻擊台灣企業!

圖片及資料來源:mysk.blogMacRumorsJeremy Burge (@jeremyburge) 


大家對網站文章上的一個讚、+1及轉分享,都是對我們的最好的鼓勵及繼續下去的原動力,請大家不要吝嗇。