V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
goodbest
V2EX  ›  iOS

原来 iOS 的 app 可以不经用户操作 直接读取剪贴板的内容的,以后用 1Password 看来要小心。

  •  
  •   goodbest · 2015-08-10 09:41:20 +08:00 · 14079 次点击
    这是一个创建于 3428 天前的主题,其中的信息可能已经有所发展或是发生改变。

    现象

    今早收到一条微信,说是直接复制微信内容,然后打开手机淘宝就能看到红包。

    于是我就复制了这段内容,打开淘宝app后,没有任何粘贴操作,直接就有了红包提示。
    然后我尝试清空了剪贴板重新进入淘宝,就没有这种提示。

    也就是说,淘宝(或者其他任何app)可以不经提示,直接读取用户的剪贴板内容
    系统是iOS8.4,app版本都是最新的。

    反思

    我不是iOS开发者,但也用了好几年iOS。
    但今天以前我竟然一直不知道有这个功能,也没听谁提到过,也从来没见过任何app用过这个功能。
    现在知道这个功能,着实把我吓了一跳。

    有时我会从1Password里复制密码,然后粘贴到目标app里。
    但如果这期间我不小心打开了其他的app,我刚刚复制的这个密码就可能会泄露了。
    所以各位务必在手机1Password->设置->安全->清除剪切板,设置有效期为30秒。

    39 条回复    2018-05-11 16:52:47 +08:00
    zjl03505
        1
    zjl03505  
       2015-08-10 09:43:55 +08:00   ❤️ 1
    想太多了
    little_cup
        2
    little_cup  
       2015-08-10 09:50:00 +08:00   ❤️ 1
    剪贴板本来就不是安全区域。
    Android 版我记得是用 accessibility API 自动检测填入的,不会经过剪贴板。
    maemolee
        3
    maemolee  
       2015-08-10 09:56:07 +08:00 via iPad   ❤️ 1
    你知道欧路词典有个后台取词查词功能吧?就是读取的剪贴板内容……
    cielpy
        4
    cielpy  
       2015-08-10 09:59:10 +08:00   ❤️ 1
    没记错的话QQ和微博的登录用到了这个功能。
    http://mistyhua.github.io/chinese/ios/2015/02/23/sso-login-without-sdk.html
    各个词典工具都有一个功能,在任何一个能复制内容的地方复制一个单词,都会有一个通知,告诉你这个单词的意思。
    这些都是剪切板的应用吧。
    如果只是拿到密码,那也只能是一个无意义的字符串而已吧。知道你要登录的是什么账户+账户名+监听到的字符串密码,这才能组成一个有意义的组合吧。你的1Password的密码是随机的,又不是一码通,拿到一个无意义的字符串应该没什么问题吧。
    qgy18
        5
    qgy18  
       2015-08-10 09:59:53 +08:00 via iPhone   ❤️ 1
    其它程序并不知道读到的这串字符是你的密码,就算知道是密码也不知道是什么网站的。因为我几百个网站密码都是用 1Password生成的。而且只要不越狱,从官方渠道装 App,感觉还是很安全的。
    goodbest
        6
    goodbest  
    OP
       2015-08-10 10:01:46 +08:00
    @maemolee
    @cielpy
    我还真没用过各种字典的后台取词..


    @qgy18
    所以只是隐患啦
    Themyth
        7
    Themyth  
       2015-08-10 10:05:24 +08:00   ❤️ 1
    楼主的想法和担心我以前也有,直到看了楼上的几位解释后,现在放心了。。。
    Cavolo
        8
    Cavolo  
       2015-08-10 10:48:06 +08:00 via iPhone   ❤️ 1
    uc浏览器你只要复制过一个地址点击地址栏就会问你是不是要打开这个网站
    banri
        9
    banri  
       2015-08-10 10:53:13 +08:00   ❤️ 1
    手机上的猎豹也这样,而且还会自动过滤里面的非网址内容。。。
    比如你复制了一段话里有个网址,他会自动把网址内容贴到地址栏。。。(虽然这功能不错但是天天推送消息所以我已经不用了。。。
    imn1
        10
    imn1  
       2015-08-10 11:06:22 +08:00
    洁癖的话就小心,不是就无需理会,因为没法防,除非要求系统开发把读取剪贴板也视为权限管理
    关键是读了剪贴板有没有发送出去(或者累积一定数量后再定期发送)
    虽然不知道是否为一个密码或者网站密码,但还是可以作为一个暴力破解词典的词条使用,如果撞库成功……
    而且某个奇怪的字串在剪贴板出现的频率很高,或长时间内都会出现,基本也能断定是个密码

    所以重要的网站关闭输入法(不是单纯切换英文)手动输入,是个好习惯
    stupidcat
        11
    stupidcat  
       2015-08-10 11:11:56 +08:00
    还是脑内剪贴板好啊……
    lliioogg
        12
    lliioogg  
       2015-08-10 11:13:50 +08:00
    搜狗刚刚还读取了我剪切版内的银行卡号,并告诉我此号码暂时没有骚扰纪录
    em70
        13
    em70  
       2015-08-10 11:16:39 +08:00 via Android
    单纯密码泄露,不知道账号,不知道应用,有什么危害呢?就好比我把我们家钥匙给你,但你不知道我住哪,我还是安全的
    czyhd
        14
    czyhd  
       2015-08-10 11:21:38 +08:00
    如果不允许后台运行程序,外加30秒清空,应该就没问题了吧
    imn1
        15
    imn1  
       2015-08-10 11:23:30 +08:00
    @em70
    家的钥匙确实比较难定位,但车钥匙、会所钥匙……锁定目标就简单多了
    所以你的举例不对,登录自己电脑的密码和登录网上银行的密码是两码事
    em70
        16
    em70  
       2015-08-10 11:44:11 +08:00
    @imn1 假设我把我银行密码给你,你知道密码明文和密码属于我这2个信息,但你对我一无所知,不认识我,不知道我账号,甚至不知道是哪个银行的,你如何对我不利?
    holong2000
        17
    holong2000  
       2015-08-10 12:16:13 +08:00
    这些密码收集到彩虹表里,你看看结果会怎么样
    imn1
        18
    imn1  
       2015-08-10 12:23:26 +08:00
    @em70
    用我来举例有啥用?我连怎么隐藏 ip 都不懂,别说贼胆,连贼心都不敢有,怎么会对你不利?
    你该想的是那些穷凶极恶,不要命的

    社工可以做很多事的,只是愿不愿意做(成本&收益)而已
    对你一无所知这个假设也是无效的,获取密码的人至少知道来源(手机 或 ip、地理定位、其他信息等),只要有库,交叉一下确定到个人也是可能的

    然后,虚妄假设一个情景:
    去一个遥远的地方,找个黑网吧(假设店家良心没有截取信息),全程不用身份证;上某个不需要实名的人气高的论坛,随便注册一个新帐号,前面的设定基本切断真实身份的意思,然后把真实银行(哪个银行也不说)密码发出去,能安心不改密码么?

    另外不要想着没什么可以少的,还要想有没有多的,例如名下离奇的多了一张信用卡?
    a0000
        19
    a0000  
       2015-08-10 12:55:05 +08:00 via Android
    想到了一个点,Android可以知道哪个应用的哪个页面在栈顶显示,然后判断登录页面(收集一些主流应用)的所有输入行为,是不是可以窃取账号和密码了?
    a0000
        20
    a0000  
       2015-08-10 13:08:07 +08:00 via Android
    。。。。想多了,键盘输入不能监听
    em70
        21
    em70  
       2015-08-10 13:24:50 +08:00
    @imn1 别跑题了,我们讨论的主题是剪贴板,剪贴板的特性限制了获取大数据的可能,剪贴板上拿到的任何数据都是孤立的,会导致攻击成本巨大,所以根本不需要过分担心,搞得以后连复制功能都不敢用了.
    so898
        22
    so898  
       2015-08-10 13:25:04 +08:00
    楼主你要知道大量的跳转验证也是使用了剪贴板的
    imn1
        23
    imn1  
       2015-08-10 13:41:28 +08:00
    @em70
    没有跑题,只是你把范围缩小到正规软件,这些确实没什么可担心的
    所以我说没有洁癖可以不理会,正规软件商赢取信誉相比盗取某个帐号不是一个数量级,不会做这事
    说的是对于隐藏的、不要脸的、恶意的那些,要有个好习惯

    认为孤立是错误理解,可以获取一次也可以获取多次,多次就不是孤立数据
    随便给我一个匿名人的一年剪贴板记录,我也能分析出很多东西来,只不过账密不是我的所长,我所长是消费行为分析
    jhinsel
        24
    jhinsel  
       2015-08-10 13:54:22 +08:00
    所以我做了一个只能清空剪贴板的 App……
    em70
        25
    em70  
       2015-08-10 14:36:07 +08:00
    @imn1 理论上可以,但你忽略了攻击成本,你获取+分析某个特定的人一年的数据需要花多少时间精力运气?在民用级产品上,破解的价值远远低于破解成本,没有黑客会傻到花大量成本去攻击一个完全不了解的陌生人,这些都是安全壁垒。

    有个类似的例子是MD5加密, 被山东大学王小云给破了,但仅仅是理论上破解的, 那需要大型机连续工作90天, 成本上千万美元,所以MD5加密现在仍然广泛应用于各种互联网产品,只是国防,军事不再使用了.
    devon
        26
    devon  
       2015-08-10 15:16:12 +08:00
    不太同意楼上的观点。既然能拿到密码的复制,是不是也可以拿到其它东西,比如 email 的复制了。把所有能拿到信息,组合分析一下,一定会得出一些有用的结论。比如将 email 与密码拿去撞库。

    所以,一个系统用一个密码会好一点。
    ioth
        27
    ioth  
       2015-08-10 15:42:09 +08:00
    现在亲们知道apple iphone一代,为什么短信不能copy了吧。
    不是不会做。
    剪贴板在ms系统里面,就是黑洞。
    imn1
        28
    imn1  
       2015-08-10 16:43:50 +08:00
    @em70
    两个误区:
    1.从MD5破解到123456确实很难,但要找到123456及其MD5值配对却很容易
    2.针对某个人那不是怨恨就是怀有某种明确目的,多嘴一句:如果真的是这种情况的话,成本是重要考虑因素么?
    渔夫是用一张网去捕鱼,而不是用某个网眼,而且也不是去捕特定某一条鱼
    放一个恶意程序出去,传到10万人,其中500人没察觉,再其中仅几个人有大额防备弱就足够了,这个成本不会高到哪里去
    就像经常听到有人问:那些骗子打国际长途不要钱么?呵呵,有一个上当就回本了
    LazyZhu
        29
    LazyZhu  
       2015-08-10 17:25:26 +08:00
    账户名也有可能过剪切板的吧,而且规律很明显,账户名与密码的剪切间隔很短啊,楼上很多人都在自我YY吗?

    另外用KeepPass的,Win端建议打开双通道混淆输入,降低泄漏风险.
    em70
        30
    em70  
       2015-08-10 18:11:01 +08:00
    @LazyZhu
    @imn1

    你们描述的风险前提是机器上安装了恶意软件监听,但恶意软件既然都已经安装在你机器上了,还搞你剪贴板干嘛,直接攻击系统不就行了. 这好像是小偷已经进屋的情况下,可能会找到你地板下的钥匙把你装钱的柜子打开. 但真实情况下,小偷进来,直接用斧头劈开了你们家柜子,不稀罕你的钥匙.你只需要担心是如何不让小偷进门

    @imn1 王小云的MD5破解不是暴力破解,具体可以看看百度百科.
    LazyZhu
        31
    LazyZhu  
       2015-08-10 18:25:42 +08:00
    @em70 你的知识需要Update ......
    你以为木马病毒还是10年前的把你机子搞瘫,太幼稚了吧.现在都是信息时代了,都是信息交易了.
    还有那"小偷的例子",小偷如能瞒过你一直潜伏在家里,你说小偷是偷一次还是偷一辈子?还有你无法保证做到"不让小偷进门",除非你的家没门...
    imn1
        32
    imn1  
       2015-08-10 18:49:07 +08:00
    @em70
    小偷用钥匙不用斧头,更多是为了延长被发现的时间,木马也是
    别忘了还有一种人,道貌岸然,户主没啥失误就是来转一圈“清洁除虫”的,一旦发现户主不小心,就把钥匙复制了,然后原件还放在原地,户主一点没察觉,等发现的时候往往是已经发生损失,晚了,而且户主事后还没法举证问题出在这个来“杀虫”的。户主平时自己把钥匙放好难道不是一种良好习惯么?

    我也没有说他是暴力破解,而且我更多认为他不是出于破解目的而是技术目的。
    社工不需要研究技术,千万条数据,每人算一万条,一千人可以完成。不止一千万?时间可以延长啊,前面算出来的数据90天后就不能用么?彩虹表又不是拿来炫耀自己技术能算得多快~
    em70
        33
    em70  
       2015-08-10 19:03:07 +08:00
    @LazyZhu 我什么时候说搞破坏是要搞瘫机器啊, 要监听恶意软件为啥不直接监听键盘,而要去监听剪贴板.要偷你密码为啥不去钓鱼或者搞假界面骗你输入,而要守着一个剪贴板. 会去搞普通用户的人,都是急功近利的,哪个有空去分析你过去一年的剪贴板记录.
    LazyZhu
        34
    LazyZhu  
       2015-08-10 19:21:50 +08:00
    @em70
    我可能中文不行, 没理解你的"攻击系统"是什么意思.
    至于那几个为啥,你得去问问写那些木马的人, Google估计也没答案(因为没人会这么问).
    另外看来你我不在同一个世界或者同一世界的次元啊
    Semidio
        35
    Semidio  
       2015-08-10 20:01:45 +08:00
    1、为什么需要复制密码再粘帖,可以使用系统扩展直接填入
    2、1Password默认设置自动在复制密码30秒之后清空剪贴板怎么没人提?
    lobbk1209
        36
    lobbk1209  
       2015-08-11 02:12:20 +08:00
    @Semidio
    1. 例如苹果的 App Store 就无法使用系统扩展直接填入,还有茫茫多的 Apps 也不可以
    2. 虽然 1Password 可以定时清除剪贴板,但是这个没有意义,因为 iOS 软件可以做到在你复制的那一瞬间读取到剪贴板内容。例如辞典软件,在你复制文本的同时即可得到内容,通过通知显示查词结果,而且从 iPhone 6 @ iOS 8 的实际体验上看,这个后台可以保持很久,iPad Air 2 的2GB内存上更是可以持续数日。
    holong2000
        37
    holong2000  
       2015-08-11 08:35:48 +08:00
    @lobbk1209 所以要取消大部分不太可靠的app后台运行。
    volCANo
        38
    volCANo  
       2018-05-11 16:50:31 +08:00
    其实是安全的。
    For sharing data with any other app, use the systemwide general pasteboard; for sharing data with another app from your team — that has the same team ID as the app to share from — use named pasteboards.
    volCANo
        39
    volCANo  
       2018-05-11 16:52:47 +08:00
    需要开发者自觉,隐私信息使用安全的粘贴板即可。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1414 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 17:24 · PVG 01:24 · LAX 09:24 · JFK 12:24
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.