偷看用戶剪貼簿!iOS 14 新安全通知揭 TikTok、Facebook 侵害隱私疑慮

iOS 14 剛於 6/23 的 WWDC 上發表,強調加強防護使用者隱私與安全,增加更多權限通知,以及調整地點分享範圍以及應用程式授權,開發者版本已經開放下載,一般使用者則要等到秋季。
iOS 14 推出沒幾天,Emojipedia 表情符號資料庫的執行長 Jeremy Burge 就在Twitter 上發文,表示發現 TikTok(抖音)會在使用者於 app 打字,卻沒有主動在 app 貼上文字的情況下,在背景存取使用者的剪貼簿資料。至於是怎麼發現的?因為 iOS 14 會主動通知 app 正在存取剪貼簿。
Okay so TikTok is grabbing the contents of my clipboard every 1-3 keystrokes. iOS 14 is snitching on it with the new paste notification pic.twitter.com/OSXP43t5SZ
— Jeremy Burge (@jeremyburge) June 24, 2020
由於 TikTok 風靡全球,特別在年輕族群受歡迎,又因其中資背景讓資安議題更尤其敏感。在 The Telegraph 的報導中,TikTok 回應存取剪貼簿是為了偵測濫發垃圾訊息的行為。不過經過大量反彈,TikTok 也表示為了避免造成使用者困擾,在更新版本中已經移除存取剪貼簿的防垃圾訊息功能。目前 iOS 14 下載新版 TikTok 後也已經不會出現安全警示通知。
不過 TikTok 並未進一步說明是否 Android 版本也會停止存取使用者的剪貼簿,也沒說明他們除了偵測剪貼行為來避免濫發垃圾訊息,是否還有另外儲存使用者的剪貼簿內容。
不過 TikTok 事件後,台灣的開發者皮樂也發文表示 Facebook 同樣會在選字時存取使用者的剪貼簿,在討論串中可以看到實測影片。
另外除了社群巨頭以外,其他像是 Starbucks、AccuWeather 等知名 app 都有回報出現自動存取使用者剪貼簿的情形。
不過在 Forbes 的專欄報導可以看到,已經有資安研究員早在今年 2 月就指出 Apple 的漏洞能讓應用程式自由存取剪貼簿。
研究員甚至釋出示範影片警告潛在的安全問題:
但經過回報,當時 Apple 回應看不出這有任何問題,好像認為這是正常發揮的功能一般,卻在近期 iOS 14 的更新中默默地新增了剪貼簿存取通知。由於 Apple 剪貼簿方便的 Universal Clipboard 功能,根據資安研究員的說法,Mac 上的 app 甚至可以存取到 iPhone 剪貼簿的內容。