保護隱私權,渡邊杏對應用程序說“越界”!
早在去年二月,海外版TikTok被指責出現了經常閱讀剪貼板內容的問題,TikTok方面解釋說,這是他們的反垃圾郵件戰略。這是為了應對目前機器人水軍通過腳本復制和粘貼大量輸出垃圾內容的現象。但是不可否認的是,牙齒策略很容易傷害無辜的人,給人一種監視TikTok牙齒自己聊天內容的感覺。因此,TikTok最近提交了新版本,刪除了反垃圾郵件功能,消除了潛在的誤解。類似的情況引領著全球工作場所社交網絡服務平臺Linkedin牙齒LinkedIn,在此期間,經常閱讀和復制用戶剪輯信息,使用戶難以接受。
技術人員的詳細測試表明,大多數移動軟件(包括QQ、WeChat和地平)經常閱讀剪貼板內容。今年,Apple Global Developers Conference WWDC發表的iOS 14中還默默地添加了在應用程序訪問剪貼板時向用戶發送警告的功能。
信息泄露,微不足道的傳單做了什么
事實上,在我們日常使用手機的過程中,復制地址、手機號碼、認證代碼、居民身份證號碼、甚至銀行賬戶、密碼等重要信息是不可避免的。所有復制的信息都放在剪貼板上。剪貼板旨在為用戶提供方便的操作功能,因此,自我整理機制不能確保信息的安全和信息使用權限,因此用戶的隱私不能得到有效的安全。
從應用程序導入剪貼板的目的通常可以分為三個茄子大類別:“功能”、“跳轉”和“信息”。
“功能”是指特定應用程序必須使用剪貼板來實現特定的操作過程(例如,“單詞翻譯”軟件)。
大家都知道“跳躍”的功能。大家都看過“fu是這樣說的”這個惡作劇的口令。(威廉莎士比亞,溫斯頓,跳,跳,跳,跳,跳,跳,跳,跳)
信息功能是最常用的復制/粘貼、信息傳遞等手段。
牙齒三個茄子的情況都可以理解。因為使用剪貼板的行為本質上是由用戶授權或主動操作的。但是,如果過度閱讀用戶剪貼板,甚至非法監控/獲取剪貼板內容,即軟件在前臺或背景、公開或私有的情況下收集我們剪貼板上的資料,進行準確的宣傳、用戶肖像、甚至個人信息銷售等行為,那么用戶就有了隱私和個人信息。
安全保護,雙劍不在手掌上顫抖
我們不能指責用戶不注意隱私。相反,對于App操作員或開發人員本身來說,使用適當的技術手段保護用戶的隱私和信息安全更為重要。(David assell,Northern Exposure,美國電視電視劇,隱私,隱私)這些保護手段包括剪貼板的操作權限、操作范圍、信息安全和App的不同狀態下的多種保護機制。
通過對移動應用中使用剪切板的安全風險問題的固定點方向方案研究和技術開發,pass shided移動加固團隊提供了Android和iOS雙系統下剪貼板的保護方案。
Android 1
Android剪貼板保護方案的主要目的是允許在App內部環境中隨機復制和粘貼,但是內部復制的內容不能粘貼到App外部環境,有效防止剪貼板數據泄露,并防止從其他App竊取App內部的重要信息。
在Android環境中,剪貼板操作是通過ClipboardManager執行的,因此主要是攔截ClipboardManager,以便相對控制“導入剪貼板數據”和“設置剪貼板數據”的方式。核心過程如下圖所示。
付款盾牌增強-Android剪貼板保護方案技術方案示例
用戶在App內執行復制操作時,數據將存儲在剪貼板上。牙齒時將內容保存到數據庫中,然后清空剪貼板的內容。
用戶粘貼到App內部時,將從數據庫中提取內容,并返回要粘貼的內容。
在整個復制/粘貼過程中,整個App內部剪貼板的內容為空。同時,數據庫中存儲的內容經過解密系統處理后,回復到純文本狀態,以確保用戶自身的正常使用。
此外,牙齒操作不會影響App外部剪貼板的內容,當用戶在App外部復制和粘貼時,操作正常。不影響用戶體驗,不公開App內部的個人信息數據。
實現效果
1.確保不影響剪切板的正常使用,不惡意竊聽剪切板的隱私權數據。
2.數據存儲庫使用加密和密碼分析操作,極大地提高了信息的安全強度。
IOS
IOS中的剪貼板保護主要涉及以下三個茄子:
1.加密剪貼板上緩存的數據,以提高解密數據的難度,并防止攻擊者劫持剪貼板時輕松獲取實際數據。
2.當應用程序進入后臺時,清理剪貼板上緩存的數據,以防止第三方惡意使用緩存的數據。
3.當應用程序返回前臺時,再次執行分配任務,以便在應用程序節目中正常使用剪貼板,從而提高用戶體驗。
IOS剪貼板的保護一方面是通過UIPasteboard的截取實現的,另一方面是從剪貼板導入數據和設置剪貼板中數據的方法。核心流程圖如下圖所示。
貫通屏蔽加固-iOS剪切板防護節目技術方案實例
“復制”(copy)操作將數據存儲在剪貼板上。現在將存儲的數據導入到加密和密碼分析系統中。如果用戶在應用程序節目中粘貼,則需要粘貼的數據將通過調用密碼分析系統進行解密返回。
在牙齒過程中,整個應用內部剪貼板的內容將被視為數據加密。此外,牙齒操作不會影響應用外部剪貼板的操作,當用戶在應用“粘貼副本”(paste copy)之外執行復制粘貼時,也可以執行正常操作。不會影響用戶體驗,也不會泄露應用程序的個人信息數據。
IOS剪貼板的保護是應用生命周期狀態的更改,當程序作為后臺作業進入時,將剪貼板緩存中的數據本地保存并清空剪貼板,從而防止第三方應用程序訪問當前應用的剪貼板數據。當偵聽器返回前臺時,將剪貼板數據調用到加密和密碼分析系統,如果剪貼板數據為空,則將值分配給本地數據。確保應用程序內部數據的一致性和完整性。
取得效果
1.現在,iOS14的剪切板保護功能得到了擴展,填補了iOS14及更早版本剪切板保護的空白。
2.確保剪切板數據應用的安全性,增加攻擊者破解的困難。
3.確保當前應用傳單中使用的數據的一致性和完整性。