首页 > 传媒 > 关键词 > 通付盾最新资讯 > 正文

通付盾移动应用剪切板防护:App用户隐私的反监听守护者

2020-07-15 17:58 · 稿源:站长之家用户投稿

隐私保护,对App“越界”说不!

早在今年2月份,抖音海外版TikTok就因为发生高频率读取剪贴板内容的问题饱受指责,TikTok方面解释称这是他们的反垃圾策略,为了应对目前机器人水军大量通过脚本来实现复制粘贴批量输出垃圾内容的现状。但不可否认的是,这一策略很容易伤及无辜,给人一种TikTok在监控自己聊天内容的感觉。以致TikTok近日不得不提交新版本,删除该反垃圾邮件功能,以消除任何潜在的误解。类似的情况还出现在全球职场社交平台LinkedIn领英,前段时间也因为常读取/复制用户剪切板信息被用户难以接受。

经过技术人员的详细测试,发现包括QQ、微信、知乎等大多数移动软件都存在频繁读取剪切板内容的情况。今年的苹果全球开发者大会WWDC上,苹果方面公布的iOS 14中也默默加入了可在应用访问剪贴板时向用户发出警报这项功能。

信息泄露,不起眼的剪切板做了什么

事实上我们在日常使用手机的过程中,难免会复制一些重要的信息,比如地址,手机号,验证码,身份证号码,甚至银行账户和密码等。而我们所复制的信息都会进入到剪切板,由于剪切板的设计初衷更多是为用户提供便捷操作功能,它本身的清理机制并不能保证信息的安全和信息使用操作权限,这就导致用户隐私无法得到有效的安全保障。

应用程序获取剪贴板的目的通常可以分为“功能”、“跳转”与“信息”这三个大类。

“功能”指的是某些应用程序在实现特定操作流程中必须使用剪贴板,比如一些“划词翻译”的软件。

“跳转”功能,想必大家应该非常熟悉了,“fu致这行话”这种淘口令想必大家都有见过。

“信息”功能,也是用户最常用到的操作,用来作为复制/粘贴、信息传递等手段。

正常场景下这三种情况都是可以理解的,因为他们使用剪贴板的行为本质上由用户授权或者主动操作,但是如果应用过度去读取用户剪切板,甚至非法去监控/获取剪切板内容,即软件在前台或后台、公开或私下收集我们剪切板内的资料,以用来进行精确推广、用户画像甚至个人信息出售等行为,就会给用户带来隐私和安全威胁。

安全防护,双剑在手心不抖

我们不能斥责用户不注意个人信息保护,相反,对于App运营方或者开发者本身来说,如何用合适的技术手段去保护用户的个人隐私和信息安全显得更加重要。这些保护手段涉及到剪切板的操作权限、操作范围、信息安全保护以及在App的各种状态下不同的保护机制等各个方面。

通付盾移动加固团队针对移动应用中关于剪切板使用的安全隐患问题进行定点定向的方案研究和技术研发,提供了Android和iOS双系统下的剪切板防护方案。

Android

Android剪切板防护方案主要目的是实现在App内部环境可以任意复制粘贴,但是内部复制的内容是无法在App外部环境进行粘贴,有效地防止了剪切板数据的泄露,也能够保证App内部的重要信息无法被其他App窃取。

在Android环境下,对剪切板的操作是通过ClipboardManager来实现的,因此我们主要通过对ClipboardManager进行拦截,实现对“获取剪切板数据”和“设置剪切板数据”方法的相对控制权,以实现保护目的。核心流程如下图所示。

通付盾加固-Android剪切板防护方案技术方案示例图

当用户在App内部进行复制操作时,系统会将数据保存至剪切板。此时我们会将内容存至数据库,并且将剪切板的内容清空处理。

当用户在App内部进行粘贴时,便将数据库中内容提取出来,返回要粘贴的内容。

在整个复制/粘贴过程中,整个App内部剪切板的内容会保持清空状态。同时,存储至数据库中的内容经过加解密系统处理后,会以密文形式存放,以明文状态进行回显以保证用户本身正常使用。

此外,该操作不会影响App外部剪切板的内容,当用户在App外部进行复制粘贴时,可以进行正常操作。既不影响用户体验,也不会泄露App内部的隐私数据。

实现效果

1.不影响正常使用剪切板的同时,保障剪切板隐私数据不会被恶意监听;

2.数据存储采用加解密操作,大大增加了信息的安全强度。

iOS

iOS对剪切板的防护主要涉及以下3点:

1.对剪切板缓存的数据进行加密处理,增加数据破解读取的难度,实现攻击者即使劫持了剪切板也无法轻易获取真实的数据。

2.在应用程序进入后台时对剪切板缓存的数据进行清理,防止缓存的数据被第三方恶意使用;

3.应用返回前台时重新进行赋值操作,保证剪切板在应用内部可正常使用,提高用户体验。

iOS剪切板的保护一方面是通过对UIPasteboard的拦截来实现,并且改写了其获取剪切板数据和设置剪切板数据的方法。核心流程图如下图所示。

通付盾加固-iOS剪切板防护方案技术方案示例图

当采用复制操作时,系统会将数据保存至剪切板。此时我们将存储的数据调用加解密系统进行加密操作。当用户在应用内部进行粘贴时,将需要粘贴的数据调用加解密系统进行解密并返回。

在此过程中,整个应用内部剪切板中的内容是经过数据加密处理的。此外,该操作不会影响应用外部剪切板的操作,当用户在应用外部进行复制粘贴时,可以进行正常操作。既不影响用户体验,也不会泄露应用中的隐私数据。

iOS剪切板的保护另一方面是对应用生命周期状态的改变进行监听,当监听到程序进入后台操作时,将剪切板缓存的数据保存到本地,并对剪切板进行清空处理,保证第三方应用无法访问当前应用的剪切板数据。当监听到程序返回前台时,将剪切板数据调用加解密系统进行加密处理,如果剪切板数据为空则将本地数据赋值到剪切板中。保证应用内部数据的一致性,完整性。

实现效果

1.对现在iOS14的剪切板保护功能进行了扩充,并填补了iOS14 以下版本剪切板保护的空白;

2.保证了应用剪切板数据的安全性,增加了攻击者破解的难度;

3.保证了当前应用剪切板使用的数据一致性,完整性。

免责声明:“站长之家”的传媒资讯页面文章、图片、音频、视频等稿件均为自媒体人、第三方机构发布或转载。如稿件涉及版权等问题,请与我们联系删除或处理。稿件内容仅为传递更多信息之目的,不代表本网观点,亦不代表本网站赞同其观点或证实其内容的真实性,更不对您的投资构成建议。我们不鼓励任何形式的投资行为、购买使用行为。

  • 相关推荐
  • 大家在看
  • TikTok将保护欧洲用户隐私责任转交两家分公司

    据CityA.M.消息,TikTok周一证实,它将把保护欧洲用户隐私的责任转交给其爱尔兰和英国的分公司。根据这些变化,欧洲经济区(EEA)与瑞士用户的服务提供商将改为TikTok爱尔兰分公司,英国办事处则负责为英国用户提供服务。此外,TikTok 英国分公司还将成为欧洲经济区、瑞士和英国用户的数据控制机构。TikTok在声明中表示,从7月29日起,TikTok的爱尔兰和英国分公司将接替美国分公司,为欧洲用户提

  • 苹果拒绝在Safari部署16个Web API 避免对用户隐私构成威胁

    苹果本周表示,它拒绝在Safari浏览器上实施 16 项新网络技术(Web API),因为这些技术为用户指纹识别开辟了新途径,对用户的隐私构成威胁。

  • 小红书CTO山丘:用户隐私保护是数据应用的第一前提

    【TechWeb】7月10日消息,小红书CTO山丘在参加世界人工智能大会“多方安全计算圆桌论坛”时表示,“我们一直非常非常注重用户数据隐私,因此我们对于多方安全计算、联邦学习等技术一方面表示很期待,但对于采用我们的态度非常谨慎。”据了解,小红书目前月活过亿,超过70%的用户为90后,每天产生超过70亿次的笔记曝光。为了保护用户的数据小红书采取了许多严格措施,在内部小红书组建了专业的信息安全团队负责对黑客入侵防御、数?

  • 6.29全国反欺诈宣传日,通付盾守护安全,远离欺诈

    随着信息技术的快速发展,电信网络新型诈骗犯罪持续多发高发、手段和花样不断翻新,层出不穷,给群众带来巨大损失,严重破坏了社会秩序。老年人和青少年群体正成为犯罪分子实施欺诈的重点目标。通付盾作为中国支付清算协会反欺诈工作常委单位,在6. 29 全国反欺诈宣传日之际,为大家传递如何防范欺诈的相关知识,规避欺诈风险。通付盾作为金融科技安全行业的领导者,通过技术创新和经验积累,构建了完善的风控精准体系,实现了基于

  • 捷报!通付盾又添“省级软件企业技术中心”称号

    近日, 根据《江苏省省级企业技术中心认定管理办法》(苏工信规﹝2020﹞1号)和《关于组织开展2019年省认定软件企业技术中心认定及评价工作的通知》(苏工信创新﹝2019﹞642号)要求,省工信厅组织开展2019年省级企业技术中心申报认定工作,公布了2019年江苏省省级软件企业技术中心企业名单,江苏通付盾信息安全技术有限公司光荣入榜,再添“2019年江苏省省级软件企业技术中心”称号。2020年,通付盾集团凝心重上阵,归零再出发,依

  • 中国人喜欢用隐私换取便利?小米:隐私保护没有国界

    之前曾有这样一种说法,中国人喜欢用隐私换取便利,对此小米集团副总裁、小米安全与隐私委员会主席崔宝秋坚决发对,在他看来,随着人们对隐私的重视程度与日俱增,隐私安全问题将会越来越重要。

  • 2020网络黑产五大新发现,通付盾智能反欺诈再升级

    当前,网络支付的高效便捷,在改变群众消费习惯、改善人们生活品质的同时,也让一些“见不得光”的网络黑灰产业蠢蠢欲动。2020年4月,网络安全保卫支队(以下简称:苏州市公安局网安支队)会同张家港市公安局深入推进“净网2020”专项行动和网络重案攻坚专项行动,通过深入研判、深挖彻查、持续打击,成功斩断一条集“上游资金供给——非法‘第四方支付’——下游黑灰产业”于一体的完整犯罪产业链,成功摧毁一个为网络贷款诈骗提?

  • 微信视频号怎么设置隐私

    微信视频号怎么设置隐私?微信视频号日前全面开放了视频号功能,如今要想拥有一个属于自己的视频号十分简单,花上一分钟的时间注册之后便可以正式发布视频了。而很多小伙伴在微信视频号中发布作品的时候,不想让自己的位置信息显示出来,但是又不知道该如何关闭。在微信视频号中已经发布的视频,其位置信息无法进行修改,不能删除也不能隐藏,但是将要发布的视频是可以设置不显示位置信息的,怎么设置呢?以下是微信视频号怎么设置

  • 出于隐私考虑:苹果拒绝在Safari部署16个Web API

    据外媒报道,苹果本周表示,它拒绝在Safari浏览器上实施 16 项新网络技术(Web API),因为这些技术为用户指纹识别开辟了新途径从而对他们的隐私构成威胁。这 16 项技术具体如下:

  • 喜报!2020中国金融科技竞争力百强榜揭晓!通付盾荣登榜单

    6月29日,由中关村互联网金融研究院、中关村金融科技产业发展联盟、中国互联网金融三十人论坛(CIF30)举办的2020第四届金融科技与金融安全国际云峰会暨2020中关村“番钛客”金融科技国际创新大赛启动仪式在线上召开。本次峰会汇集了各方专家大咖共同探讨金融科技与金融安全前沿话题,并隆重发布了“2020中国金融科技竞争力100强榜单”。 通付盾在金融科技领域不断创新研发,凭借优质产品体系及专业技术服务团队等综合成绩荣登百强榜

  • iOS 14强化隐私保护:更妥善保护你的个人信息

    ​在今天凌晨召开的 WWDC 2020 开发者大会上,苹果重申了公司对隐私保护的重视程度,并在所有旗下的软件系统中推出一些新的功能。在开幕演讲中,Craig 还专门讲述了新版系统中在隐私方面的改进,并强调苹果的软硬件产品、服务均充分考虑到了用户隐私的保护。

  • iOS 14摊上事:新隐私功能遭欧洲16家广告协会反对

    据外媒报道,针对iOS 14的新隐私功能,即追踪用户行为之前需征求用户额外的同意,这让欧洲多家数字广告协会对苹果大加指责。苹果公布了iOS 14的一些新的隐私功能,这些功能要求应用程序在启用

  • iOS14隐私保护功能升级 可一键禁用所有App追踪

    据外媒报道,苹果公司近日推出了iOS14 内测版可供使用,在隐私保护功能方面有重大升级。如果有APP在使用用户的摄像机,会有一个绿色灯亮起。如果有APP在使用用户的麦克风,将有一个橙色灯亮起。

  • 微信聊天记录怎么彻底删除?100%帮你解决隐私保护问题

    微信聊天记录怎么彻底删除?才能保证永远不被恢复?微信里面有很多我们的小秘密,网上有一个小段子 “就算是只剩最后一口气,也要先把手机里面和闺蜜的聊天记录删了”,其实这也足以可见微信聊天记录内容真的有很多是不能被别人看到的。那么到底应该怎么彻底删除微信聊天记录呢?以下就是给大家总结出来的方法,大家可以根据自己的实际情况进行选择!方法一:通过微信设置进行删除 微信聊天记录怎么彻底删除?这个方法可以快速帮你删除聊天?

  • 苹果iOS14新隐私功能抵制,欧洲16家广告协会联合反对

    据外媒报道,针对iOS14 的新隐私功能,即追踪用户行为之前需征求用户额外的同意,这让欧洲多家数字广告协会对苹果大加指责。

  • 苹果隐私保护新模式 将导致免费APP大幅减少

    DoNews 6月25日消息(记者 丁凡)据外媒报道,苹果在2020年度全球开发者大会上宣布了iOS 14系统中的一系列新隐私功能,包括防止用户被应用程序和网站跟踪的新保护功能。广告行业组织首席执行官利·弗罗因德表示,“这将给依赖广告生存的应用程序开发商带来‘经济困难’,消费者偏好内置广告的免费或低价数字内容,这样可能会导致可用应用程序急剧下降。”

  • 暗示即将上线?iOS 13.5.1详细介绍CarKey隐私权政策

    苹果和宝马合作开发iPhone的“CarKey”功能,可用来解锁汽车。而在 iOS 13.5.1 更新中显示,苹果公司正在制定一项针对“ “CarKey”功能的隐私权政策,暗示这该功能可能很快就会到来。

  • 苹果联合谷歌亚马逊制定智能家居标准 生态将更重视隐私

    北京时间6月23日凌晨,苹果首次在线上举办全球开发者大会WWDC20。在本次大会上,苹果会照例对iOS、iPadOS、macOS、watchOS、tvOS进行更新,从每年WWDC的软件蓝图中,开发者和用户都能大致看到苹果未来产品的走向与大致定位,从今年的新iPad Pro定位直指电脑不难发现,苹果也势必会将旗下诸多OS做进一步融合。隐私一直是苹果特别重视的部分,在今年的WWDC上,苹果特意将这个部分单独拿出来讲述,在今年隐?

  • 谷歌被欧盟罚款5000万欧元,因违反隐私保护规定

    近日外媒报道称,谷歌公司的上诉被法国最高行政法院驳回,在2019 年 1 月,法国处以谷歌5000万欧元罚款,理由是谷歌违反数据隐私保护相关规定,这是欧盟《通用数据保护条例》的首个罚单,也是欧盟GDPR隐私法出台以来开出的最高罚金。

  • iOS 14新隐私功能带来隐忧:苹果此举将导致免费App大幅减少

    对于苹果来说,他们最值得炫耀的就是,自己产品在用户隐私上做的非常到位。今年的iOS 14新功能上,苹果引入了一系列新隐私功能,包括防止用户被应用程序和网站跟踪,以及对现有系统的一系列增

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议

热文

  • 3 天
  • 7天