不只TikTok抖音！iOS 14揭露多款App都會偷看iPhone剪貼簿

Apple 蘋果最新一代系統 iOS 14 在 WWDC 開發者大會公開後，已經開放給開發者進行測試。然而資安專家們透過 iOS 14 系統安全通知功能卻發現 TikTok 抖音、Microsoft Teams …等多款第三方 App 可以在使用者不知情的狀況下偷看讀取 iPhone 剪貼簿內容，包複製的密碼、信用卡資訊、文字…等，也就是說使用者的資訊安全漏洞大開。

Emojipedia 表情圖示百科 CEO Jeremy Burge (@jeremyburge) 在 Twitter 秀了一段影片，內容是他在 iOS 14 開啟 TikTok 抖音時，系統不停跳出提醒，因而發現抖音每隔幾秒鐘都會讀取剪貼簿功能。

Apple 蘋果這項提醒功能，主要目的是為了保護使用者個資，因為 Apple 旗下裝置都支援 Universal Clipboard 通用剪貼簿功能，使用者在 Mac 或 iPad 上複製或剪下的文字或內容都可以 iPhone 讀取，也因此在 iOS 14 系統中，Apple 蘋果新增第三方 App 讀取剪貼簿會自動向使用者發出提醒通知功能。

雖然說剪貼簿的資料都是微不足道的內容，但是有時侯難免會複製密碼、信用卡號…等個人資訊內容，因此看似不起眼一個動作其實足以掀起資安風暴，更何況遊戲、新聞、影音軟體…等多數 App 所需的資訊並不需要讀取使用者的剪貼簿。

儘管 Jeremy Burge 在 Twitter 推特公布消息時，以 TikTok 抖音為範例拍攝影片，但有問題的不只有 TikTok 抖音，包括 Apollo for Reddit、Microsoft Teams …等 App 也有類似情況。

不過，Jeremy Burge 認為像是 Apollo for Reddit 等 App 讀取剪貼簿是為了確認是否可以使用剪貼簿的內容，而類似 Microsoft Teams 等其他 App 的目的並不明確。Jeremy Burge 也透露即使測試過程中沒有發現剪貼簿內容被濫用，頻繁地讀取剪貼簿仍然會覺得奇怪。

Jeremy Burge 認為 iOS 14 的讀取剪貼簿提醒，應該進一步提示 App 讀取的內容與用途，因為使用者不知道接下來會發生什麼事。

使用者無法分辨哪些 App 讀取剪貼簿是為了「確認」功能，那些 App 偷看剪貼簿是為了將內容剪貼發送到遠端伺服器，所以很希望能有一種檢測 App 讀取剪貼簿及應用的功能。

此外，Jeremy Burge 更進一步提醒會偷看剪貼簿的應用程式不只有他舉例的這幾個 App ，先前資安人員 Tommy Mysk 在 2020 年 3 月就已經公布多達 56 款 App 應用程式會在未經使用者同意的狀況下讀取剪貼簿，而且這些 App 涵蓋範圍相當廣泛，不只社群網路工具、遊戲、新聞…等也都會偷偷讀取使用者的剪貼簿內容。

偷看剪貼簿的 App 如下：

新聞類：

ABC News — com.abcnews.ABCNews

Al Jazeera English — ajenglishiphone

CBC News — ca.cbc.CBCNews

CBS News — com.H443NM7F8H.CBSNews

CNBC — com.nbcuni.cnbc.cnbcrtipad

Fox News — com.foxnews.foxnews

News Break — com.particlenews.newsbreak

New York Times — com.nytimes.NYTimes

NPR — org.npr.nprnews

ntv Nachrichten — de.n-tv.n-tvmobil

Reuters — com.thomsonreuters.Reuters

Russia Today — com.rt.RTNewsEnglish

Stern Nachrichten — de.grunerundjahr.sternneu

The Economist — com.economist.lamarr

The Huffington Post — com.huffingtonpost.HuffingtonPost

The Wall Street Journal — com.dowjones.WSJ.ipad

Vice News — com.vice.news.VICE-News

遊戲類：

8 Ball Pool — com.miniclip.8ballpoolmult

AMAZE!!! — com.amaze.game

Bejeweled — com.ea.ios.bejeweledskies

Block Puzzle —Game.BlockPuzzle

Classic Bejeweled — com.popcap.ios.Bej3

Classic Bejeweled HD —com.popcap.ios.Bej3HD

FlipTheGun — com.playgendary.flipgun

Fruit Ninja — com.halfbrick.FruitNinjaLite

Golfmasters — com.playgendary.sportmasterstwo

Letter Soup — com.candywriter.apollo7

Love Nikki — com.elex.nikki

My Emma — com.crazylabs.myemma

Plants vs. Zombies™ Heroes — com.ea.ios.pvzheroes

Pooking – Billiards City — com.pool.club.billiards.city

PUBG Mobile — com.tencent.ig

Tomb of the Mask — com.happymagenta.fromcore

Tomb of the Mask: Color — com.happymagenta.totm2

Total Party Kill — com.adventureislands.totalpartykill

Watermarbling — com.hydro.dipping

社群網路類：

TikTok — com.zhiliaoapp.musically

ToTalk — totalk.gofeiyu.com

Tok — com.SimpleDate.Tok

Truecaller — com.truesoftware.TrueCallerOther

Viber — com.viber

Weibo — com.sina.weibo

Zoosk — com.zoosk.Zoosk

Apollo for Reddit （資料來源： Jeremy Burge）

Microsoft Teams （資料來源： Jeremy Burge）

其他：

10% Happier: Meditation —com.changecollective.tenpercenthappier

5-0 Radio Police Scanner — com.smartestapple.50radiofree

Accuweather — com.yourcompany.TestWithCustomTabs

AliExpress Shopping App — com.alibaba.iAliexpress

Bed Bath & Beyond — com.digby.bedbathbeyond

Dazn — com.dazn.theApp

Hotels.com — com.hotels.HotelsNearMe

Hotel Tonight — com.hoteltonight.prod

Overstock — com.overstock.app

Pigment – Adult Coloring Book — com.pixite.pigment

Recolor Coloring Book to Color — com.sumoing.ReColor

Sky Ticket — de.sky.skyonline

The Weather Network — com.theweathernetwork.weathereyeiphone

圖片及資料來源：mysk.blog、MacRumors、Jeremy Burge (@jeremyburge)

《原文刊登於合作媒體三嘻行動哇，聯合新聞網獲授權轉載。》