偷看用戶剪貼簿!iOS 14 新安全通知揭 TikTok、Facebook 侵害隱私疑慮

iOS 14 加強了隱私通知及各項安全把關功能,意外讓人發現抖音會在未經過使用者同意的情境下存取剪貼簿,並且在後續開發者回報中發現包括 Facebook 等知名 app 也有相同狀況。目前 iOS 14 只供開發者下載測試。
評論
Shutterstock/達志影像
評論

iOS 14 剛於 6/23 的 WWDC 上發表,強調加強防護使用者隱私與安全,增加更多權限通知,以及調整地點分享範圍以及應用程式授權,開發者版本已經開放下載,一般使用者則要等到秋季。

iOS 14 推出沒幾天,Emojipedia 表情符號資料庫的執行長 Jeremy Burge 就在Twitter 上發文,表示發現 TikTok(抖音)會在使用者於 app 打字,卻沒有主動在 app 貼上文字的情況下,在背景存取使用者的剪貼簿資料。至於是怎麼發現的?因為 iOS 14 會主動通知 app 正在存取剪貼簿。

由於 TikTok 風靡全球,特別在年輕族群受歡迎,又因其中資背景讓資安議題更尤其敏感。在 The Telegraph 的報導中,TikTok 回應存取剪貼簿是為了偵測濫發垃圾訊息的行為。不過經過大量反彈,TikTok 也表示為了避免造成使用者困擾,在更新版本中已經移除存取剪貼簿的防垃圾訊息功能。目前 iOS 14 下載新版 TikTok 後也已經不會出現安全警示通知。

不過 TikTok 並未進一步說明是否 Android 版本也會停止存取使用者的剪貼簿,也沒說明他們除了偵測剪貼行為來避免濫發垃圾訊息,是否還有另外儲存使用者的剪貼簿內容。

不過 TikTok 事件後,台灣的開發者皮樂也發文表示 Facebook 同樣會在選字時存取使用者的剪貼簿,在討論串中可以看到實測影片

另外除了社群巨頭以外,其他像是 Starbucks、AccuWeather 等知名 app 都有回報出現自動存取使用者剪貼簿的情形。

不過在 Forbes 的專欄報導可以看到,已經有資安研究員早在今年 2 月就指出 Apple 的漏洞能讓應用程式自由存取剪貼簿。

研究員甚至釋出示範影片警告潛在的安全問題:

但經過回報,當時 Apple 回應看不出這有任何問題,好像認為這是正常發揮的功能一般,卻在近期 iOS 14 的更新中默默地新增了剪貼簿存取通知。由於 Apple 剪貼簿方便的 Universal Clipboard 功能,根據資安研究員的說法,Mac 上的 app 甚至可以存取到 iPhone 剪貼簿的內容。


【2021 INSIDE 未來日】Aruba 打造安全簡易的智慧物聯網

Aruba 台灣區副總經理陳清淵在會中談到如何打造安全、簡易的物聯網(IoT),以及如何建置和整合一個智慧平台。IoT 的應用範圍廣泛,從新能源、環境、居家、資訊安全,已經滲透至生活各層面,陳清淵也分享了 Aruba 在這一波浪潮中所能扮演的角色。
評論
Inside
評論

Aruba 台灣區副總經理陳清淵在會中談到如何打造安全、簡易的物聯網(IoT),以及如何建置和整合一個智慧平台。IoT 的應用範圍廣泛,從新能源、環境、居家、資訊安全,已經滲透至生活各層面,陳清淵也分享了 Aruba 在這一波浪潮中所能扮演的角色。

Inside
Aruba 台灣區副總經理陳清淵在 inside 分享對物聯網未來的期許

在會談一開始,陳清淵提到,目前運用 IoT edge 會遇到四個主要問題:

  • 企業在網路管理的工具上需要進一步投資。
  • 系統需要花很多時間在辨識和診斷訊息。
  • 資安危機逐漸攀升,未來需要確認連接的設備是否具有潛在威脅性。
  • 企業願不願意投入資源在設備的改善與升級。
陳清淵的PPT

此外,Aruba 在這些問題上,以三個階段、力求簡易的方式解決:

  • Connect : 連結網路作業的網域和地點。
  • Protect : 在資安的審查上採取嚴格的管控,以及安全存取服務邊緣(SASE),提供簡易性、延展性、彈性與無所不在的安全。
  • Analyze & Act : 由人工智慧(AI)所驅動的裝置,在威脅影響到用戶時,就能即時偵測並處理,增加資安防護的效率與可靠性。
陳清淵的PPT

資訊安全是重中之重,高達八成的用戶覺得自己沒受到保護

陳清淵指出,這時要重新定義 edge 的角色,如果不用網路,當然無風險,但是現在的時代物聯網已經滲透進許多家戶和企業,尤其是後疫情、數位化時代。知道有什麼設備連到你的網路是相當重要的。

有高達 80% 的人認為,自己沒受到保護。這比例相當高,也代表能做的事還有很多,而且,資安是重中之重,必須要做認證、使用者權限、若有感染就即刻隔離,過程中減少頻寬的浪費,Aruba 的無線控制器防火牆可即時阻擋、限制網路威脅、提供乾淨的流量,使用智慧化、簡單的方式管理使用者,若有感染也能即刻通知用戶。

陳清淵也舉出一些應用的範例,Aruba 可以提供門禁的安全運用,不論是家戶、飯店或公司都能受惠,而且應用範圍遠不只有如此,另一個例子來說,現在疫情依然影響人們的生活,確診病患的足跡、可能傳播的途徑都會經由人流散播,所以,人流追蹤的功能就相當顯目,除此之外,資產定位、偵測空氣品質、煙霧、室內導航,以及在美國這種民眾能擁槍的國家來說,槍聲的偵測也是一個重要的功能。

Aruba 建立整合自動化、資安的平台,簡化過程、增加效率

陳清淵解釋道,使用無線存取點(AP)作為連接物聯網的工具,可以有效簡化流程和減少建置成本;採用 Intelligent edge,在網路連接上時就啟動存取控制(Access Control),讓有權限的用戶才能存取受保護的資源,做到嚴格把關的功能;此外,Aruba ESP 是在雲端運作,而且能以人工智慧進行自動化、整合、資安的平台;接著,利用連結、保護啟動、分析和行動的連續過程,簡化程序、增加效率。

另一方面,針對小型企業,陳清淵表示,Aruba 的系統不只適用於中、大型企業,也可針對小型企業的不同需求做相應的調整,應用彈性相當大。

AioT 可客製化,讓大、中、小型企業都能運用 

現在為了搭上數位轉型的便車,許多企業也在思考如何切入,在切入角度上,陳清淵認為,有分上雲端、不上雲端的區別,只要轉換 edge,可依據當時的需求、便利性,做整合服務,而且還可以測量成長的幅度。

不過,即使有這些好處,當前 AIoT 的發展依然還是有困難,最大的障礙來自經費,現有的資金僅能支持維護,但是難以投入更多到研發中,如此一來, 對於 AIoT 的應用範圍和技術更新的速度就難以與國際並肩,陳清淵指出,企業需要更加關注這場數位浪潮,投入更多資源,才能發揮物聯網的優勢。

核稿編輯:Mia

延伸閱讀: