不只 TikTok 抖音！iOS 14 揭露多款 App 都會偷看 iPhone 剪貼簿

Apple 蘋果最新一代系統 iOS 14 在 WWDC 開發者大會公開後，已經開放給開發者進行測試。然而資安專家們透過 iOS 14 系統安全通知功能卻發現 TikTok 抖音、Microsoft Teams …等多款第三方 App 可以在使用者不知情的狀況下偷看讀取 iPhone 剪貼簿內容，包複製的密碼、信用卡資訊、文字…等，也就是說使用者的資訊安全漏洞大開。

Emojipedia 表情圖示百科 CEO Jeremy Burge (@jeremyburge) 在 Twitter 秀了一段影片，內容是他在 iOS 14 開啟 TikTok 抖音時，系統不停跳出提醒，因而發現抖音每隔幾秒鐘都會讀取剪貼簿功能。

Apple 蘋果這項提醒功能，主要目的是為了保護使用者個資，因為 Apple 旗下裝置都支援 Universal Clipboard 通用剪貼簿功能，使用者在 Mac 或 iPad 上複製或剪下的文字或內容都可以 iPhone 讀取，也因此在 iOS 14 系統中，Apple 蘋果新增第三方 App 讀取剪貼簿會自動向使用者發出提醒通知功能。

雖然說剪貼簿的資料都是微不足道的內容，但是有時侯難免會複製密碼、信用卡號…等個人資訊內容，因此看似不起眼一個動作其實足以掀起資安風暴，更何況遊戲、新聞、影音軟體…等多數 App 所需的資訊並不需要讀取使用者的剪貼簿。

儘管 Jeremy Burge 在 Twitter 推特公布消息時，以 TikTok 抖音為範例拍攝影片，但有問題的不只有 TikTok 抖音，包括 Apollo for Reddit、Microsoft Teams …等 App 也有類似情況。

不過，Jeremy Burge 認為像是 Apollo for Reddit 等 App 讀取剪貼簿是為了確認是否可以使用剪貼簿的內容，而類似 Microsoft Teams 等其他 App 的目的並不明確。Jeremy Burge 也透露即使測試過程中沒有發現剪貼簿內容被濫用，頻繁地讀取剪貼簿仍然會覺得奇怪。

Jeremy Burge 認為 iOS 14 的讀取剪貼簿提醒，應該進一步提示 App 讀取的內容與用途，因為使用者不知道接下來會發生什麼事。

使用者無法分辨哪些 App 讀取剪貼簿是為了「確認」功能，那些 App 偷看剪貼簿是為了將內容剪貼發送到遠端伺服器，所以很希望能有一種檢測 App 讀取剪貼簿及應用的功能。

此外，Jeremy Burge 更進一步提醒會偷看剪貼簿的應用程式不只有他舉例的這幾個 App ，先前資安人員 Tommy Mysk 在 2020 年 3 月就已經公布多達 56 款 App 應用程式會在未經使用者同意的狀況下讀取剪貼簿，而且這些 App 涵蓋範圍相當廣泛，不只社群網路工具、遊戲、新聞…等也都會偷偷讀取使用者的剪貼簿內容。

偷看剪貼簿的 App 如下：

• 新聞類：
  ABC News — com.abcnews.ABCNews
  Al Jazeera English — ajenglishiphone
  CBC News — ca.cbc.CBCNews
  CBS News — com.H443NM7F8H.CBSNews
  CNBC — com.nbcuni.cnbc.cnbcrtipad
  Fox News — com.foxnews.foxnews
  News Break — com.particlenews.newsbreak
  New York Times — com.nytimes.NYTimes
  NPR — org.npr.nprnews
  ntv Nachrichten — de.n-tv.n-tvmobil
  Reuters — com.thomsonreuters.Reuters
  Russia Today — com.rt.RTNewsEnglish
  Stern Nachrichten — de.grunerundjahr.sternneu
  The Economist — com.economist.lamarr
  The Huffington Post — com.huffingtonpost.HuffingtonPost
  The Wall Street Journal — com.dowjones.WSJ.ipad
  Vice News — com.vice.news.VICE-News
• 遊戲類：
  8 Ball Pool — com.miniclip.8ballpoolmult
  AMAZE!!! — com.amaze.game
  Bejeweled — com.ea.ios.bejeweledskies
  Block Puzzle —Game.BlockPuzzle
  Classic Bejeweled — com.popcap.ios.Bej3
  Classic Bejeweled HD —com.popcap.ios.Bej3HD
  FlipTheGun — com.playgendary.flipgun
  Fruit Ninja — com.halfbrick.FruitNinjaLite
  Golfmasters — com.playgendary.sportmasterstwo
  Letter Soup — com.candywriter.apollo7
  Love Nikki — com.elex.nikki
  My Emma — com.crazylabs.myemma
  Plants vs. Zombies™ Heroes — com.ea.ios.pvzheroes
  Pooking – Billiards City — com.pool.club.billiards.city
  PUBG Mobile — com.tencent.ig
  Tomb of the Mask — com.happymagenta.fromcore
  Tomb of the Mask: Color — com.happymagenta.totm2
  Total Party Kill — com.adventureislands.totalpartykill
  Watermarbling — com.hydro.dipping
• 社群網路類：
  TikTok — com.zhiliaoapp.musically
  ToTalk — totalk.gofeiyu.com
  Tok — com.SimpleDate.Tok
  Truecaller — com.truesoftware.TrueCallerOther
  Viber — com.viber
  Weibo — com.sina.weibo
  Zoosk — com.zoosk.Zoosk
  Apollo for Reddit （資料來源： Jeremy Burge）
  Microsoft Teams （資料來源： Jeremy Burge）
• 其他：
  10% Happier: Meditation —com.changecollective.tenpercenthappier
  5-0 Radio Police Scanner — com.smartestapple.50radiofree
  Accuweather — com.yourcompany.TestWithCustomTabs
  AliExpress Shopping App — com.alibaba.iAliexpress
  Bed Bath & Beyond — com.digby.bedbathbeyond
  Dazn — com.dazn.theApp
  Hotels.com — com.hotels.HotelsNearMe
  Hotel Tonight — com.hoteltonight.prod
  Overstock — com.overstock.app
  Pigment – Adult Coloring Book — com.pixite.pigment
  Recolor Coloring Book to Color — com.sumoing.ReColor
  Sky Ticket — de.sky.skyonline
  The Weather Network — com.theweathernetwork.weathereyeiphone

圖片及資料來源：mysk.blog、MacRumors、Jeremy Burge (@jeremyburge) 

延伸閱讀：

電信商 T-Mobile 搶先上架 iPhone 12 系列配件，傳將搭配 20W USB 充電器

【限時免費】冒險遊戲《AER Memories of Old》和《Stranger Things 3 怪奇物語》，7/2 晚上 11 時前快領取！

看看更多有趣好玩的科技新聞