iOS 14新功能揭露抖音等53款iOS App竊取用戶剪貼簿資訊
包括抖音(Tiktok)在內的53款iOS App,三月被發現暗中竊取用戶iPhone、iPad上剪貼簿內的資訊,而在3個月後,iOS 14的一項新功能發現到,這批App仍然還持續惡行。
上周的WWDC,蘋果公布了iOS 14 beta版本。除了新的主頁畫面、App Clip外,iOS 14強化了用戶的隱私控制,要求開發商自行揭露蒐集的資料,它還加入一項新功能,會在App讀取剪貼簿內容時發出警示。有用戶迫不及待做了測試。
從用戶分享的影片,從Weather、華爾街日報、Fox News、AliExpress到抖音讀取剪貼簿的行為,全部都在iOS 14警告中現形。用戶指出抖音還在三月研究揭露後,承諾將停止一切刺探行為,不料3個月後依然故我。
iOS 14的新功能把原本需要專家揭露的事情,更攤在陽光下。三月研究人員Talal Haj Bakry及 Tommy Mysk發布一項研究,揭露知名iOS App會請求存取用戶iPhone或iPad內剪貼簿的文字內容。雖然它們並不讀取剪貼簿內的其他資訊,像是PDF或相片,但是光是文字就可能包含小至購物清單,大到密碼、帳號、加密貨幣電子錢包地址等等敏感資訊。如果iOS裝置啟用了iOS的通用剪貼簿(Universal Clipboard),則可能還能讀到別台iPhone或iPad、Mac電腦的資訊。通用剪貼簿功能讓一段文字可以在相鄰的iOS裝置或macOS電腦上分享及同步。
研究人員發現有讀取剪貼簿內文字行為的iOS App除了抖音外還有52款,其中包括,通訊類的微博、Viber、遊戲類的水果忍者(Fruit Ninja)、絕地求生:刺激戰場(PUBG Mobile)、Hotels.com、天氣網(The Weather Network)、Accuweather、阿里旗下的AliExpress Shopping、華爾街日報、Huffington Post、紐約時報、經濟學人(Economist)、Fox News、美國公共電視(NPR)等等App。
背後為中國公司字節跳動的抖音,4月還被同一批研究人員發現流量未加密可能遭中間人攻擊,繼二月被美國軍方禁用,本周又被印度封鎖。
