「加三嘻行動哇 Yipee! 成為好友」
【Facebook、Youtube、Twitter、Instagram、Telegram、Line】
Apple 蘋果最新一代系統 iOS 14 在 WWDC 開發者大會公開後,已經開放給開發者進行測試。然而資安專家們透過 iOS 14 系統安全通知功能卻發現 TikTok 抖音、Microsoft Teams …等多款第三方 App 可以在使用者不知情的狀況下偷看讀取 iPhone 剪貼簿內容,包複製的密碼、信用卡資訊、文字…等,也就是說使用者的資訊安全漏洞大開。
(截圖來源:https://twitter.com/jeremyburge/status/1275832600146391042)
Emojipedia 表情圖示百科 CEO Jeremy Burge (@jeremyburge) 在 Twitter 秀了一段影片,內容是他在 iOS 14 開啟 TikTok 抖音時,系統不停跳出提醒,因而發現抖音每隔幾秒鐘都會讀取剪貼簿功能。
https://twitter.com/jeremyburge/status/1275832939373383680
(資料來源:https://twitter.com/jeremyburge/status/1275832600146391042)
Apple 蘋果這項提醒功能,主要目的是為了保護使用者個資,因為 Apple 旗下裝置都支援 Universal Clipboard 通用剪貼簿功能,使用者在 Mac 或 iPad 上複製或剪下的文字或內容都可以 iPhone 讀取,也因此在 iOS 14 系統中,Apple 蘋果新增第三方 App 讀取剪貼簿會自動向使用者發出提醒通知功能。
雖然說剪貼簿的資料都是微不足道的內容,但是有時侯難免會複製密碼、信用卡號…等個人資訊內容,因此看似不起眼一個動作其實足以掀起資安風暴,更何況遊戲、新聞、影音軟體…等多數 App 所需的資訊並不需要讀取使用者的剪貼簿。
(截圖來源:https://twitter.com/jeremyburge/status/1275832600146391042)
儘管 Jeremy Burge 在 Twitter 推特公布消息時,以 TikTok 抖音為範例拍攝影片,但有問題的不只有 TikTok 抖音,包括 Apollo for Reddit、Microsoft Teams …等 App 也有類似情況。
不過,Jeremy Burge 認為像是 Apollo for Reddit 等 App 讀取剪貼簿是為了確認是否可以使用剪貼簿的內容,而類似 Microsoft Teams 等其他 App 的目的並不明確。Jeremy Burge 也透露即使測試過程中沒有發現剪貼簿內容被濫用,頻繁地讀取剪貼簿仍然會覺得奇怪。
(截圖來源:https://twitter.com/jeremyburge/status/1276146864895778821)
Jeremy Burge 認為 iOS 14 的讀取剪貼簿提醒,應該進一步提示 App 讀取的內容與用途,因為使用者不知道接下來會發生什麼事。
使用者無法分辨哪些 App 讀取剪貼簿是為了「確認」功能,那些 App 偷看剪貼簿是為了將內容剪貼發送到遠端伺服器,所以很希望能有一種檢測 App 讀取剪貼簿及應用的功能。
(截圖來源:https://twitter.com/jeremyburge/status/1276197226616950791)
此外,Jeremy Burge 更進一步提醒會偷看剪貼簿的應用程式不只有他舉例的這幾個 App ,先前資安人員 Tommy Mysk 在 2020 年 3 月就已經公布多達 56 款 App 應用程式會在未經使用者同意的狀況下讀取剪貼簿,而且這些 App 涵蓋範圍相當廣泛,不只社群網路工具、遊戲、新聞…等也都會偷偷讀取使用者的剪貼簿內容。
偷看剪貼簿的 App 如下:
- 新聞類:
ABC News — com.abcnews.ABCNews
Al Jazeera English — ajenglishiphone
CBC News — ca.cbc.CBCNews
CBS News — com.H443NM7F8H.CBSNews
CNBC — com.nbcuni.cnbc.cnbcrtipad
Fox News — com.foxnews.foxnews
News Break — com.particlenews.newsbreak
New York Times — com.nytimes.NYTimes
NPR — org.npr.nprnews
ntv Nachrichten — de.n-tv.n-tvmobil
Reuters — com.thomsonreuters.Reuters
Russia Today — com.rt.RTNewsEnglish
Stern Nachrichten — de.grunerundjahr.sternneu
The Economist — com.economist.lamarr
The Huffington Post — com.huffingtonpost.HuffingtonPost
The Wall Street Journal — com.dowjones.WSJ.ipad
Vice News — com.vice.news.VICE-News - 遊戲類:
8 Ball Pool — com.miniclip.8ballpoolmult
AMAZE!!! — com.amaze.game
Bejeweled — com.ea.ios.bejeweledskies
Block Puzzle —Game.BlockPuzzle
Classic Bejeweled — com.popcap.ios.Bej3
Classic Bejeweled HD —com.popcap.ios.Bej3HD
FlipTheGun — com.playgendary.flipgun
Fruit Ninja — com.halfbrick.FruitNinjaLite
Golfmasters — com.playgendary.sportmasterstwo
Letter Soup — com.candywriter.apollo7
Love Nikki — com.elex.nikki
My Emma — com.crazylabs.myemma
Plants vs. Zombies™ Heroes — com.ea.ios.pvzheroes
Pooking – Billiards City — com.pool.club.billiards.city
PUBG Mobile — com.tencent.ig
Tomb of the Mask — com.happymagenta.fromcore
Tomb of the Mask: Color — com.happymagenta.totm2
Total Party Kill — com.adventureislands.totalpartykill
Watermarbling — com.hydro.dipping - 社群網路類:
TikTok — com.zhiliaoapp.musically
ToTalk — totalk.gofeiyu.com
Tok — com.SimpleDate.Tok
Truecaller — com.truesoftware.TrueCallerOther
Viber — com.viber
Weibo — com.sina.weibo
Zoosk — com.zoosk.Zoosk
Apollo for Reddit (資料來源: Jeremy Burge)
Microsoft Teams (資料來源: Jeremy Burge) - 其他:
10% Happier: Meditation —com.changecollective.tenpercenthappier
5-0 Radio Police Scanner — com.smartestapple.50radiofree
Accuweather — com.yourcompany.TestWithCustomTabs
AliExpress Shopping App — com.alibaba.iAliexpress
Bed Bath & Beyond — com.digby.bedbathbeyond
Dazn — com.dazn.theApp
Hotels.com — com.hotels.HotelsNearMe
Hotel Tonight — com.hoteltonight.prod
Overstock — com.overstock.app
Pigment – Adult Coloring Book — com.pixite.pigment
Recolor Coloring Book to Color — com.sumoing.ReColor
Sky Ticket — de.sky.skyonline
The Weather Network — com.theweathernetwork.weathereyeiphone
延伸閱讀:
藍牙傳資安漏洞?BIAS 偽裝藍牙讓 iPhone、Android 用戶全遭殃!
行動廣告軟體助長第六代網路攻擊,2019 年全球 27% 公司曾遭攻擊
283 英鎊購買可防 5G 電磁波的「5GBioShield」裝置,拆開卻發現只是 USB 隨身碟
圖片及資料來源:mysk.blog、MacRumors、Jeremy Burge (@jeremyburge)