TikTok等热门应用在您的iPhone剪贴板上窥探

根据新的研究，尽管目前还没有任何滥用迹象，但许多流行的iOS和iPadOS应用似乎都在设备剪贴板上进行监听。

TikTok是被发现在用户不知情的情况下在iOS剪贴板上进行监听的大约50个应用程序之一。

iOS或iPadOS上的应用程序通常可以不受限制地访问复制或剪切到系统范围键盘上的数据。苹果方面则表示这是故意的行为。但是，一对iOS开发人员发现，每次打开应用程序时，它们可能都在用户不知情的情况下读取这些数据。

在博客文章中，开发人员Tommy Mysk和Talal Haj Bakry列出了大约50个应用的列表，这些应用每次在用户不知情的情况下打开时都会读取iOS剪贴板的内容。该列表包括TikTok，Accuweather，Truecaller，Overstock等热门应用，以及大量新闻出版物。

使用Xcode的开发人员和Xcode命令行来分析应用程序的行为，还发布了概念验证视频，演示了明显的漏洞。

需要明确的是，这项研究并不表明这些应用程序对数据进行了任何恶意处理，甚至没有对其进行泄露。他们只是在读。但是，仅凭这一事实就为潜在的滥用敞开了大门。

尽管通常存储在剪贴板中的数据是相当不错的，但该方法可用于读取敏感的复制信息，例如信用卡号或明文密码。如果用户在其相机胶卷中复制图像，则它也可能包含具有特定位置或坐标的元数据，尽管开发人员分析的应用仅查看文本。

这并不是Mysk和Bakry首次调查剪贴板漏洞。二月，二人向苹果公司提交了他们对剪贴板位置数据的研究。

据报道，库比蒂诺(Cupertino)技术巨头告诉他们，该行为没有问题，因为只有前台的应用程序才能读取剪贴板。然后，Mysk和Bakry创建了一个小部件，该小部件显示应用程序可以在“今日视图”中访问剪贴板。他们还表明，该漏洞可用于读取通过通用剪贴板在Mac上复制的文本。

发生这种剪贴板读取可能是非恶意的原因。开发人员告诉《福布斯》，这可能是由于旧版库正在读取剪贴板而引起的，有些开发人员可能不知道这种情况正在发生。

Mysk和Bakry认为Apple应该采取行动关闭该漏洞，因为创建恶意代码秘密地渗入该数据非常简单。

考虑到某些应用程序(例如TikTok)的安全性和隐私问题，该漏洞变得更加令人担忧。

2019年4月，出于对儿童安全的担忧，政府敦促苹果将TikTok从App Store中删除。虽然该应用程序在一周之内得到了恢复，但TikTok在世界其他地区也受到了审查。例如，《纽约时报》报道，已经对该应用程序进行了安全审查。