您现在的位置是:首页 >要闻 > 2021-01-13 15:29:18 来源:
LinkedIn和Reddit应用程序在未经许可的情况下复制剪贴板内容
导读 从字面上看,智能手机已经为我们提供了强大的功能,但它们也暴露出了我们在台式机上理所当然的事情中潜在的安全性和隐私权侵犯问题。诸如允
从字面上看,智能手机已经为我们提供了强大的功能,但它们也暴露出了我们在台式机上理所当然的事情中潜在的安全性和隐私权侵犯问题。诸如允许使用某些硬件和软件功能的许可几乎是台式机操作系统上的一个陌生概念,直到Android和iOS展示了如何可以轻松地滥用它们,例如发现一些移动应用程序即使不使用时仍在读取剪贴板内容。
与几十年前甚至几年前的剪贴板相比,如今的剪贴板功能非常强大。它们不仅可以存储文本,还可以存储图像,甚至可以在存储新内容之后复制数据。有些甚至可以让您跨支持的设备同步剪贴板内容,例如,轻松在计算机和智能手机之间共享文本。
但是,由于其性质相当简单,因此有人认为它如何容易被滥用是理所当然的。例如,发现LinkedIn和Reddit iOS应用程序都从iOS剪贴板复制和粘贴文本,即使它们不在前台运行也是如此。更糟糕的是,由于Apple的剪贴板同步功能,这些应用程序也可以访问Mac剪贴板中的内容。
如今,剪贴板可用于保存各种信息,包括敏感信息。人们甚至会复制密码和OTP以粘贴在登录表单上,访问剪贴板(尤其是从后台访问)的应用也可以访问这些内容,并将其与当前使用的任何应用或网站相关联。LinkedIn的工程副总裁确保该应用程序仅用于验证应用程序中键入的内容与剪贴板中的内容,但很快会在以后的更新中修复此问题。
嗨@DonCubed。感谢您提出来。我们已经将其跟踪到仅在剪贴板内容和文本框中当前键入的内容之间进行相等性检查的代码路径。我们不存储或传输剪贴板内容。
但是,这可能不是一个孤立的事件,只有Linked和Reddit才被人发现。希望它将推动Google,Apple和其他平台开发人员即使在看似简单的功能(如剪贴板)方面也采取更多的保护措施。