原来 iOS 的 app 可以不经用户操作 直接读取剪贴板的内容的,以后用 1Password 看来要小心。

2015-08-10 09:41:20 +08:00
 goodbest

现象

今早收到一条微信,说是直接复制微信内容,然后打开手机淘宝就能看到红包。

于是我就复制了这段内容,打开淘宝app后,没有任何粘贴操作,直接就有了红包提示。
然后我尝试清空了剪贴板重新进入淘宝,就没有这种提示。

也就是说,淘宝(或者其他任何app)可以不经提示,直接读取用户的剪贴板内容
系统是iOS8.4,app版本都是最新的。

反思

我不是iOS开发者,但也用了好几年iOS。
但今天以前我竟然一直不知道有这个功能,也没听谁提到过,也从来没见过任何app用过这个功能。
现在知道这个功能,着实把我吓了一跳。

有时我会从1Password里复制密码,然后粘贴到目标app里。
但如果这期间我不小心打开了其他的app,我刚刚复制的这个密码就可能会泄露了。
所以各位务必在手机1Password->设置->安全->清除剪切板,设置有效期为30秒。

13829 次点击
所在节点    iOS
39 条回复
zjl03505
2015-08-10 09:43:55 +08:00
想太多了
little_cup
2015-08-10 09:50:00 +08:00
剪贴板本来就不是安全区域。
Android 版我记得是用 accessibility API 自动检测填入的,不会经过剪贴板。
maemolee
2015-08-10 09:56:07 +08:00
你知道欧路词典有个后台取词查词功能吧?就是读取的剪贴板内容……
cielpy
2015-08-10 09:59:10 +08:00
没记错的话QQ和微博的登录用到了这个功能。
http://mistyhua.github.io/chinese/ios/2015/02/23/sso-login-without-sdk.html
各个词典工具都有一个功能,在任何一个能复制内容的地方复制一个单词,都会有一个通知,告诉你这个单词的意思。
这些都是剪切板的应用吧。
如果只是拿到密码,那也只能是一个无意义的字符串而已吧。知道你要登录的是什么账户+账户名+监听到的字符串密码,这才能组成一个有意义的组合吧。你的1Password的密码是随机的,又不是一码通,拿到一个无意义的字符串应该没什么问题吧。
qgy18
2015-08-10 09:59:53 +08:00
其它程序并不知道读到的这串字符是你的密码,就算知道是密码也不知道是什么网站的。因为我几百个网站密码都是用 1Password生成的。而且只要不越狱,从官方渠道装 App,感觉还是很安全的。
goodbest
2015-08-10 10:01:46 +08:00
@maemolee
@cielpy
我还真没用过各种字典的后台取词..


@qgy18
所以只是隐患啦
Themyth
2015-08-10 10:05:24 +08:00
楼主的想法和担心我以前也有,直到看了楼上的几位解释后,现在放心了。。。
Cavolo
2015-08-10 10:48:06 +08:00
uc浏览器你只要复制过一个地址点击地址栏就会问你是不是要打开这个网站
banri
2015-08-10 10:53:13 +08:00
手机上的猎豹也这样,而且还会自动过滤里面的非网址内容。。。
比如你复制了一段话里有个网址,他会自动把网址内容贴到地址栏。。。(虽然这功能不错但是天天推送消息所以我已经不用了。。。
imn1
2015-08-10 11:06:22 +08:00
洁癖的话就小心,不是就无需理会,因为没法防,除非要求系统开发把读取剪贴板也视为权限管理
关键是读了剪贴板有没有发送出去(或者累积一定数量后再定期发送)
虽然不知道是否为一个密码或者网站密码,但还是可以作为一个暴力破解词典的词条使用,如果撞库成功……
而且某个奇怪的字串在剪贴板出现的频率很高,或长时间内都会出现,基本也能断定是个密码

所以重要的网站关闭输入法(不是单纯切换英文)手动输入,是个好习惯
stupidcat
2015-08-10 11:11:56 +08:00
还是脑内剪贴板好啊……
lliioogg
2015-08-10 11:13:50 +08:00
搜狗刚刚还读取了我剪切版内的银行卡号,并告诉我此号码暂时没有骚扰纪录
em70
2015-08-10 11:16:39 +08:00
单纯密码泄露,不知道账号,不知道应用,有什么危害呢?就好比我把我们家钥匙给你,但你不知道我住哪,我还是安全的
czyhd
2015-08-10 11:21:38 +08:00
如果不允许后台运行程序,外加30秒清空,应该就没问题了吧
imn1
2015-08-10 11:23:30 +08:00
@em70
家的钥匙确实比较难定位,但车钥匙、会所钥匙……锁定目标就简单多了
所以你的举例不对,登录自己电脑的密码和登录网上银行的密码是两码事
em70
2015-08-10 11:44:11 +08:00
@imn1 假设我把我银行密码给你,你知道密码明文和密码属于我这2个信息,但你对我一无所知,不认识我,不知道我账号,甚至不知道是哪个银行的,你如何对我不利?
holong2000
2015-08-10 12:16:13 +08:00
这些密码收集到彩虹表里,你看看结果会怎么样
imn1
2015-08-10 12:23:26 +08:00
@em70
用我来举例有啥用?我连怎么隐藏 ip 都不懂,别说贼胆,连贼心都不敢有,怎么会对你不利?
你该想的是那些穷凶极恶,不要命的

社工可以做很多事的,只是愿不愿意做(成本&收益)而已
对你一无所知这个假设也是无效的,获取密码的人至少知道来源(手机 或 ip、地理定位、其他信息等),只要有库,交叉一下确定到个人也是可能的

然后,虚妄假设一个情景:
去一个遥远的地方,找个黑网吧(假设店家良心没有截取信息),全程不用身份证;上某个不需要实名的人气高的论坛,随便注册一个新帐号,前面的设定基本切断真实身份的意思,然后把真实银行(哪个银行也不说)密码发出去,能安心不改密码么?

另外不要想着没什么可以少的,还要想有没有多的,例如名下离奇的多了一张信用卡?
a0000
2015-08-10 12:55:05 +08:00
想到了一个点,Android可以知道哪个应用的哪个页面在栈顶显示,然后判断登录页面(收集一些主流应用)的所有输入行为,是不是可以窃取账号和密码了?
a0000
2015-08-10 13:08:07 +08:00
。。。。想多了,键盘输入不能监听

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/212013

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX