现象

今早收到一条微信，说是直接复制微信内容，然后打开手机淘宝就能看到红包。

于是我就复制了这段内容，打开淘宝app后，没有任何粘贴操作，直接就有了红包提示。
然后我尝试清空了剪贴板重新进入淘宝，就没有这种提示。

也就是说，淘宝(或者其他任何app)可以不经提示，直接读取用户的剪贴板内容
系统是iOS8.4，app版本都是最新的。

反思

我不是iOS开发者，但也用了好几年iOS。
但今天以前我竟然一直不知道有这个功能，也没听谁提到过，也从来没见过任何app用过这个功能。
现在知道这个功能，着实把我吓了一跳。

有时我会从1Password里复制密码，然后粘贴到目标app里。
但如果这期间我不小心打开了其他的app，我刚刚复制的这个密码就可能会泄露了。
所以各位务必在手机1Password->设置->安全->清除剪切板，设置有效期为30秒。

em70

2015-08-10 13:24:50 +08:00

@imn1 别跑题了,我们讨论的主题是剪贴板,剪贴板的特性限制了获取大数据的可能,剪贴板上拿到的任何数据都是孤立的,会导致攻击成本巨大,所以根本不需要过分担心,搞得以后连复制功能都不敢用了.

imn1

2015-08-10 13:41:28 +08:00

@em70
没有跑题，只是你把范围缩小到正规软件，这些确实没什么可担心的
所以我说没有洁癖可以不理会，正规软件商赢取信誉相比盗取某个帐号不是一个数量级，不会做这事
说的是对于隐藏的、不要脸的、恶意的那些，要有个好习惯

认为孤立是错误理解，可以获取一次也可以获取多次，多次就不是孤立数据
随便给我一个匿名人的一年剪贴板记录，我也能分析出很多东西来，只不过账密不是我的所长，我所长是消费行为分析

em70

2015-08-10 14:36:07 +08:00

@imn1 理论上可以,但你忽略了攻击成本,你获取+分析某个特定的人一年的数据需要花多少时间精力运气?在民用级产品上,破解的价值远远低于破解成本,没有黑客会傻到花大量成本去攻击一个完全不了解的陌生人,这些都是安全壁垒。

有个类似的例子是MD5加密, 被山东大学王小云给破了,但仅仅是理论上破解的, 那需要大型机连续工作90天, 成本上千万美元,所以MD5加密现在仍然广泛应用于各种互联网产品,只是国防,军事不再使用了.

devon

2015-08-10 15:16:12 +08:00

不太同意楼上的观点。既然能拿到密码的复制，是不是也可以拿到其它东西，比如 email 的复制了。把所有能拿到信息，组合分析一下，一定会得出一些有用的结论。比如将 email 与密码拿去撞库。

所以，一个系统用一个密码会好一点。

imn1

2015-08-10 16:43:50 +08:00

@em70
两个误区：
1.从MD5破解到123456确实很难，但要找到123456及其MD5值配对却很容易
2.针对某个人那不是怨恨就是怀有某种明确目的，多嘴一句：如果真的是这种情况的话，成本是重要考虑因素么？
渔夫是用一张网去捕鱼，而不是用某个网眼，而且也不是去捕特定某一条鱼
放一个恶意程序出去，传到10万人，其中500人没察觉，再其中仅几个人有大额防备弱就足够了，这个成本不会高到哪里去
就像经常听到有人问：那些骗子打国际长途不要钱么？呵呵，有一个上当就回本了

LazyZhu

2015-08-10 17:25:26 +08:00

账户名也有可能过剪切板的吧,而且规律很明显,账户名与密码的剪切间隔很短啊,楼上很多人都在自我YY吗?

另外用KeepPass的,Win端建议打开双通道混淆输入,降低泄漏风险.

em70

2015-08-10 18:11:01 +08:00

@LazyZhu
@imn1

你们描述的风险前提是机器上安装了恶意软件监听,但恶意软件既然都已经安装在你机器上了,还搞你剪贴板干嘛,直接攻击系统不就行了. 这好像是小偷已经进屋的情况下,可能会找到你地板下的钥匙把你装钱的柜子打开. 但真实情况下,小偷进来,直接用斧头劈开了你们家柜子,不稀罕你的钥匙.你只需要担心是如何不让小偷进门

@imn1 王小云的MD5破解不是暴力破解,具体可以看看百度百科.

LazyZhu

2015-08-10 18:25:42 +08:00

@em70 你的知识需要Update ......
你以为木马病毒还是10年前的把你机子搞瘫,太幼稚了吧.现在都是信息时代了,都是信息交易了.
还有那"小偷的例子",小偷如能瞒过你一直潜伏在家里,你说小偷是偷一次还是偷一辈子?还有你无法保证做到"不让小偷进门",除非你的家没门...

imn1

2015-08-10 18:49:07 +08:00

@em70
小偷用钥匙不用斧头，更多是为了延长被发现的时间，木马也是
别忘了还有一种人，道貌岸然，户主没啥失误就是来转一圈“清洁除虫”的，一旦发现户主不小心，就把钥匙复制了，然后原件还放在原地，户主一点没察觉，等发现的时候往往是已经发生损失，晚了，而且户主事后还没法举证问题出在这个来“杀虫”的。户主平时自己把钥匙放好难道不是一种良好习惯么？

我也没有说他是暴力破解，而且我更多认为他不是出于破解目的而是技术目的。
社工不需要研究技术，千万条数据，每人算一万条，一千人可以完成。不止一千万？时间可以延长啊，前面算出来的数据90天后就不能用么？彩虹表又不是拿来炫耀自己技术能算得多快～

em70

2015-08-10 19:03:07 +08:00

@LazyZhu 我什么时候说搞破坏是要搞瘫机器啊, 要监听恶意软件为啥不直接监听键盘,而要去监听剪贴板.要偷你密码为啥不去钓鱼或者搞假界面骗你输入,而要守着一个剪贴板. 会去搞普通用户的人,都是急功近利的,哪个有空去分析你过去一年的剪贴板记录.

LazyZhu

2015-08-10 19:21:50 +08:00

@em70
我可能中文不行, 没理解你的"攻击系统"是什么意思.
至于那几个为啥,你得去问问写那些木马的人, Google估计也没答案(因为没人会这么问).
另外看来你我不在同一个世界或者同一世界的次元啊

lobbk1209

2015-08-11 02:12:20 +08:00

@Semidio
1. 例如苹果的 App Store 就无法使用系统扩展直接填入，还有茫茫多的 Apps 也不可以
2. 虽然 1Password 可以定时清除剪贴板，但是这个没有意义，因为 iOS 软件可以做到在你复制的那一瞬间读取到剪贴板内容。例如辞典软件，在你复制文本的同时即可得到内容，通过通知显示查词结果，而且从 iPhone 6 @ iOS 8 的实际体验上看，这个后台可以保持很久，iPad Air 2 的2GB内存上更是可以持续数日。

volCANo

2018-05-11 16:50:31 +08:00

其实是安全的。
For sharing data with any other app, use the systemwide general pasteboard; for sharing data with another app from your team — that has the same team ID as the app to share from — use named pasteboards.

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/212013

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

原来 iOS 的 app 可以不经用户操作 直接读取剪贴板的内容的，以后用 1Password 看来要小心。

现象

反思

原来 iOS 的 app 可以不经用户操作直接读取剪贴板的内容的，以后用 1Password 看来要小心。