在网络世界中,个人隐私一向是用户在使用过程中考虑的重中之重。手机、电脑系统厂商也为此煞费苦心,尽可能在应用程序调用敏感系统权限时拦截并提醒用户。
iOS在个人隐私方面做的可以说是相当好了(全靠同行衬托),不少人摒弃安卓奔向iOS正是出于防止个人隐私泄露的考虑。
可即便是以系统安全著称的iOS系统近日也被曝隐私漏洞:数十个热门iOS应用程序在未经用户许可的情况下读取剪切板内容。
iOS剪切板内容遭泄露
安全专家Talal Haj Bakry和Tommy Mysk最新研究发现,数十款热门iOS应用程序在未经用户许可的情况下读取剪贴板的内容,而其中可能会包含一些敏感信息。
图片来自@www.macrumors.com
研究地址: Talal Haj Bakry and Tommy Mysk
以下是该篇研究的大概意思:
许多主流App,都会在启动时获取系统剪切板数据。
剪切板不仅仅只会泄露你复制的文本内容如密码或财务信息等,更会泄露你的精准位置信息。
当你开启通用剪切板后,这些应用程序还会读取到你从其他设备复制的内容。
1 2 3 4 5 6 7 8 9 10 11 |
调查发现,每次打开该应用程序时,许多流行的应用程序(例如TikTok(海外版抖音),8 Ball Pool™和Hotels.com)都会读取剪切板的文本。 从iOS 13.3开始,iOS和iPadOS应用程序可以不受限制地访问系统剪贴板。 粘贴板中保留的文本可能无关紧要,但也可能是高度敏感的数据,例如密码或财务信息。Bakry和Mysk先前已经研究了此漏洞的潜在安全风险,他们发现精确的位置信息正在通过系统粘贴板泄漏。 使用标准的Apple开发工具对从流行游戏和社交网络应用到主要新闻组织的新闻应用(例如Fox News或《华尔街日报》)的各种应用进行了检查。这些应用程序中有许多不提供任何用于管理文本的UI,但它们每次打开时都会读取粘贴板的文本内容。 还要注意的是,如果启用了通用剪贴板,则应用程序也可以访问在Mac上复制的内容。 至于它们究竟会如何处理这些应用程序获取到粘贴板的内容,目前还是未知的! |
小文想到的简单的应用:
- 获取你的精确地址来精准推送该地址的内容、或者该地址用户喜欢的内容给你
- 获取剪切板内容分析,猜出你的关注点来对你精准推送
- 在通讯录权限被禁止了的情况下,如果你的剪切板是11位数字而且疑似电话号码,将你和这个号码关联起来
有了这些剪切板数据和精准位置信息,应用场景太多了,我这只是浅层、有利的分析,更恶心的比如疑似密码搜集到社工库等这些我这里就不一一说了,再怎么说也只是猜测而已,留给大家深思吧。
苹果承包商通过Siri听到使用者语音
这是去年的新闻,截止至发稿应该已经修复(不敢肯定)。
Siri涉嫌暴露用户隐私事件缘起于2019年7月26日,英国《卫报》报道了Siri会在未经用户允许的情况下,将用户录音上传到服务器,并且发送给苹果外包的承包商进行人工分析。
据承包商透露,Siri记录下的内容包括了机密医疗信息,毒品交易,性行为的录音以及其它私人信息。
据《卫报》报道,这些泄露的录音片段,还会伴随着显示位置,联系方式和应用数据的用户数据等私人信息。不仅如此,承包商还表示,那些被听到的私人信息遭到滥用的可能性较大,因为对监听录音的工作人员能够自由查看数据,并没有接受过多的审查。
因此,在听到一些地址、姓名等信息时,想要识别具体用户并不是件困难的事。
然而,值得注意的是,对于Siri录音,且会聘请人工监听评分的这些事情,苹果公司并没有在用户隐私协议中明确说明。
在《卫报》报道中,苹果公司解释称:
为了改进Siri及其听写功能,Siri的一小部分请求会被用于分析,而用户的请求与用户ID并无关联。并且,Siri的响应是在安全的设施中进行分析的,所有的审查员都有义务遵守苹果严格的保密要求。
另外,苹果公司还补充道,只有一小部分随机数据(不到Siri每日激活量的1%)会用于评分,并且,那些数据通常只会有几秒钟。
今日头条未经用户允许获取用户手机通讯录被投诉
今日头条未经用户允许获取用户手机通讯录被起诉,辩称:通讯录不属于原告个人隐私信息。
该公司认为这不属于原告个人隐私信息,电话号码在日常民事交往中发挥信息交流作用,不但不应保密,反而是需要向他人告示。虽然通讯录中包含有个人姓名、电话等信息,但这些并非是原告本人的信息,而是其社会网络成员的信息,故该等信息不属于原告的“隐私信息”。
新一代窃听:无需获取麦克风权限即可完成后台窃听
当前智能手机 App 可在用户不知情、无需系统授权的情况下,利用手机内置加速度传感器采集手机扬声器所发出声音的震动信号,实现对用户语音的窃听。
可怕之处在于,这一攻击方式不仅隐蔽而且“合法”。也就是说,用户很可能在毫无感知的情况下泄露隐私,而攻击者并不违法。
浙大团队研究原文:https://mp.weixin.qq.com/s/ReAKUJhMAWMkVEwn5xT-oA
结论即是标题
你无法阻止应用程序“窃听”你的个人隐私,除非你不用。在国外某些发达国家出于儿童手表系统易被黑客攻击从而禁止所有儿童手表之后,国内某些家长甚至还把自己孩子拥有儿童手表作为炫耀的资本,不得不说,国民网络安全意识真的太差了。
国内个人隐私和信息安全方面做的是一塌糊涂,既没有相关法律法规,也没有相应的监管平台,更没有网络安全宣传和讲座。就更别提国民的网络安全意识了。
当然,这只是目前,我们相信将来一定会更好的。
国家也在出台相关法律法规来禁止这些不正当行为,已有法律的比如:《互联网个人信息安全保护指南》、《网络安全法》······
太多太杂,法律咱也不懂,感兴趣的朋友可以去搜一搜。
当然,那些不觉得隐私泄露是回事的朋友权当我在放屁。