首页 > 传媒 > 关键词 > 通付盾最新资讯 > 正文

通付盾移动应用剪切板防护:App用户隐私的反监听守护者

2020-07-15 17:58 · 稿源:站长之家用户投稿

隐私保护,对App“越界”说不!

早在今年2月份,抖音海外版TikTok就因为发生高频率读取剪贴板内容的问题饱受指责,TikTok方面解释称这是他们的反垃圾策略,为了应对目前机器人水军大量通过脚本来实现复制粘贴批量输出垃圾内容的现状。但不可否认的是,这一策略很容易伤及无辜,给人一种TikTok在监控自己聊天内容的感觉。以致TikTok近日不得不提交新版本,删除该反垃圾邮件功能,以消除任何潜在的误解。类似的情况还出现在全球职场社交平台LinkedIn领英,前段时间也因为常读取/复制用户剪切板信息被用户难以接受。

经过技术人员的详细测试,发现包括QQ、微信、知乎等大多数移动软件都存在频繁读取剪切板内容的情况。今年的苹果全球开发者大会WWDC上,苹果方面公布的iOS 14中也默默加入了可在应用访问剪贴板时向用户发出警报这项功能。

信息泄露,不起眼的剪切板做了什么

事实上我们在日常使用手机的过程中,难免会复制一些重要的信息,比如地址,手机号,验证码,身份证号码,甚至银行账户和密码等。而我们所复制的信息都会进入到剪切板,由于剪切板的设计初衷更多是为用户提供便捷操作功能,它本身的清理机制并不能保证信息的安全和信息使用操作权限,这就导致用户隐私无法得到有效的安全保障。

应用程序获取剪贴板的目的通常可以分为“功能”、“跳转”与“信息”这三个大类。

“功能”指的是某些应用程序在实现特定操作流程中必须使用剪贴板,比如一些“划词翻译”的软件。

“跳转”功能,想必大家应该非常熟悉了,“fu致这行话”这种淘口令想必大家都有见过。

“信息”功能,也是用户最常用到的操作,用来作为复制/粘贴、信息传递等手段。

正常场景下这三种情况都是可以理解的,因为他们使用剪贴板的行为本质上由用户授权或者主动操作,但是如果应用过度去读取用户剪切板,甚至非法去监控/获取剪切板内容,即软件在前台或后台、公开或私下收集我们剪切板内的资料,以用来进行精确推广、用户画像甚至个人信息出售等行为,就会给用户带来隐私和安全威胁。

安全防护,双剑在手心不抖

我们不能斥责用户不注意个人信息保护,相反,对于App运营方或者开发者本身来说,如何用合适的技术手段去保护用户的个人隐私和信息安全显得更加重要。这些保护手段涉及到剪切板的操作权限、操作范围、信息安全保护以及在App的各种状态下不同的保护机制等各个方面。

通付盾移动加固团队针对移动应用中关于剪切板使用的安全隐患问题进行定点定向的方案研究和技术研发,提供了Android和iOS双系统下的剪切板防护方案。

Android

Android剪切板防护方案主要目的是实现在App内部环境可以任意复制粘贴,但是内部复制的内容是无法在App外部环境进行粘贴,有效地防止了剪切板数据的泄露,也能够保证App内部的重要信息无法被其他App窃取。

在Android环境下,对剪切板的操作是通过ClipboardManager来实现的,因此我们主要通过对ClipboardManager进行拦截,实现对“获取剪切板数据”和“设置剪切板数据”方法的相对控制权,以实现保护目的。核心流程如下图所示。

通付盾加固-Android剪切板防护方案技术方案示例图

当用户在App内部进行复制操作时,系统会将数据保存至剪切板。此时我们会将内容存至数据库,并且将剪切板的内容清空处理。

当用户在App内部进行粘贴时,便将数据库中内容提取出来,返回要粘贴的内容。

在整个复制/粘贴过程中,整个App内部剪切板的内容会保持清空状态。同时,存储至数据库中的内容经过加解密系统处理后,会以密文形式存放,以明文状态进行回显以保证用户本身正常使用。

此外,该操作不会影响App外部剪切板的内容,当用户在App外部进行复制粘贴时,可以进行正常操作。既不影响用户体验,也不会泄露App内部的隐私数据。

实现效果

1.不影响正常使用剪切板的同时,保障剪切板隐私数据不会被恶意监听;

2.数据存储采用加解密操作,大大增加了信息的安全强度。

iOS

iOS对剪切板的防护主要涉及以下3点:

1.对剪切板缓存的数据进行加密处理,增加数据破解读取的难度,实现攻击者即使劫持了剪切板也无法轻易获取真实的数据。

2.在应用程序进入后台时对剪切板缓存的数据进行清理,防止缓存的数据被第三方恶意使用;

3.应用返回前台时重新进行赋值操作,保证剪切板在应用内部可正常使用,提高用户体验。

iOS剪切板的保护一方面是通过对UIPasteboard的拦截来实现,并且改写了其获取剪切板数据和设置剪切板数据的方法。核心流程图如下图所示。

通付盾加固-iOS剪切板防护方案技术方案示例图

当采用复制操作时,系统会将数据保存至剪切板。此时我们将存储的数据调用加解密系统进行加密操作。当用户在应用内部进行粘贴时,将需要粘贴的数据调用加解密系统进行解密并返回。

在此过程中,整个应用内部剪切板中的内容是经过数据加密处理的。此外,该操作不会影响应用外部剪切板的操作,当用户在应用外部进行复制粘贴时,可以进行正常操作。既不影响用户体验,也不会泄露应用中的隐私数据。

iOS剪切板的保护另一方面是对应用生命周期状态的改变进行监听,当监听到程序进入后台操作时,将剪切板缓存的数据保存到本地,并对剪切板进行清空处理,保证第三方应用无法访问当前应用的剪切板数据。当监听到程序返回前台时,将剪切板数据调用加解密系统进行加密处理,如果剪切板数据为空则将本地数据赋值到剪切板中。保证应用内部数据的一致性,完整性。

实现效果

1.对现在iOS14的剪切板保护功能进行了扩充,并填补了iOS14 以下版本剪切板保护的空白;

2.保证了应用剪切板数据的安全性,增加了攻击者破解的难度;

3.保证了当前应用剪切板使用的数据一致性,完整性。

免责声明:“站长之家”的传媒资讯页面文章、图片、音频、视频等稿件均为自媒体人、第三方机构发布或转载。如稿件涉及版权等问题,请与我们联系删除或处理。稿件内容仅为传递更多信息之目的,不代表本网观点,亦不代表本网站赞同其观点或证实其内容的真实性,更不对您的投资构成建议。我们不鼓励任何形式的投资行为、购买使用行为。

  • 相关推荐
  • 大家在看
  • 防止APP窃取用户隐私问题,OPPO安全在行动

    在 2020 年3· 15 晚会所曝光的问题中,手机APP窃取用户隐私的情况再度出现。根据央视报道称,部分APP中集成的SDK存在未经过授权窃取用户的个人敏感信息的情况。 OPPO作为一家软硬服一体化的科技公司,软件安全与互联网应用安全是其在安全领域的重要建设部分。OPPO安全团队从实际出发,防止APP窃取用户隐私问题,切实保证用户的隐私及数据安全。 发现底层问题:APP为什么要集成三方的SDK? 一般来讲,一款APP涉及内容非常多,比如?

  • 被工信部点名的58款App,是怎么侵犯用户隐私的?

    近期,工信部集中曝光了 58 款侵犯用户隐私的App,在这其中包含平时人们日常所使用的一些App,同时,站在这些App背后的,并不是人们所认为的小公司,有些是著名的上市公司。

  • 小红书CTO山丘:用户隐私保护是数据应用的第一前提

    【TechWeb】7月10日消息,小红书CTO山丘在参加世界人工智能大会“多方安全计算圆桌论坛”时表示,“我们一直非常非常注重用户数据隐私,因此我们对于多方安全计算、联邦学习等技术一方面表示很期待,但对于采用我们的态度非常谨慎。”据了解,小红书目前月活过亿,超过70%的用户为90后,每天产生超过70亿次的笔记曝光。为了保护用户的数据小红书采取了许多严格措施,在内部小红书组建了专业的信息安全团队负责对黑客入侵防御、数?

  • 315曝光:50多款APP涉嫌内置SDK插件窃取用户隐私

    今晚315晚会上曝光一些APP中植入某种功能或服务的插件(SDK),就能将个人信息全部转走。2019年11月,上海市消费者权益保护委员会委托第三方公司对50多款手机软件中的SDK插件进行了专门的测试,包括国美易卡、遥控器、最强手电、全能遥控器、91极速购、天天回收、闪到、萝卜商城、紫金普惠等50多款手机软件。监测人员发现这些App中有上海氪信信息技术有限公司和北京招彩旺旺信息技术有限公司两家公司的S

  • 重视用户隐私安全,ColorOS 7.2系统级防护让流氓APP无从下手

    近日,推迟数月之久的第 30 届 315 晚会于 7 月 16 日正式播出,节目中不仅涉及到了食品安全、日用品安全等,还曝光了手机里的窃贼插件。技术人员通过检测表示,这些窃贼插件会在用户不知情的情况下窃取包括设备 IMEI、电话号码、短信记录、通讯录和传感器信息等隐私。同时技术人员也进一步说明到,因为这些窃取行为的存在,一旦用户有网络交易需要用到短信验证码,就极有可能造成严重的经济损失。国内应用的乱象不是一两天的事情?

  • 通付盾移动加固实战系列:Android资源文件加密

    背景Android App的资源文件中存放了大量的应用UI界面图片、UI布局文件、隐私数据文件等,如何保障这些资源文件的安全性一直是开发者和应用安全人员重点关注的问题。在Android App中,资源主要分为assets资源和res资源两类。1.assets文件夹是存放不进行编译加工的原生文件,即该文件夹里面的文件不会像xml,java文件被预编译,可以存放一些图片、html、js、css、证书等文件。2.res资源则存放在App的res目录下,该类资源在App打包时?

  • 美参议员建议推特CEO联系FBI:成功的攻击代表百万用户的隐私面临威胁

    Twitter周三曝出重大安全事故,导致大量名人账号被黑客入侵。黑客利用这些大V的账号策划比特币骗局。作为美国最重要的社交媒体服务之一,Twitter的安全问题让美国参议员感到忧虑。美国参议员乔什·霍利(Josh Hawley)在周三晚间致信Twitter CEO杰克·多西(Jack Dorsey),呼吁Twitter立即采取措施保障服务安全,并联系美国联邦调查局(FBI)和美国司法部寻求合作。“如你所知,?

  • 315晚会再曝隐私泄露隐患,腾讯手机管家守护用户手机安全

    315时间变了,但初衷没有变,依然担当消费领域瞭望者的使命。今年315晚会,以“凝聚力量、共筑美好”为主题,除了曝光海参、汉堡、汽车、毛巾等消费者衣食住行安全问题,同时对消费者面临的网络安全风险进行曝光,揭露手机盗贼插件给用户带来的隐私泄露危害,同时为互联网企业和消费者敲响警钟。晚会曝光内容显示,上海氪信信息技术有限公司和北京招彩旺旺信息技术有限公司两家公司的SDK插件,都存在在用户不知情情况下,偷偷窃取?

  • 通付盾CEO汪德嘉受邀出席抗疫公益演讲,探讨“数字社会三部曲”

    7月15日,由中国资本市场五十人论坛、中国中小企业协会金融科技分会、全球金融科技实验室与百度等联合举办的大型抗疫系列公益演讲活动正式上线,通付盾创始人&CEO汪德嘉博士作为此次活动受邀演讲嘉宾,发表了以“数字社会三部曲”为主题的精彩直播演讲,与数字科技从业者分享人类进入”数字文明“新时代进程中,面对全球化“数字迁徙”的浪潮,通付盾如何依靠自身多年技术研究和积累,利用新兴数字化技术,有效解决数字中数字身份?

  • 小米做的这件事,捍卫了你的隐私

    “流氓!”几乎是在一夜之间,太多光鲜亮丽的App,有了这样一个新标签。造成这一切的,是小米推出的MIUI12 操作系统。

  • 微信视频号怎么设置隐私

    微信视频号怎么设置隐私?微信视频号日前全面开放了视频号功能,如今要想拥有一个属于自己的视频号十分简单,花上一分钟的时间注册之后便可以正式发布视频了。而很多小伙伴在微信视频号中发布作品的时候,不想让自己的位置信息显示出来,但是又不知道该如何关闭。在微信视频号中已经发布的视频,其位置信息无法进行修改,不能删除也不能隐藏,但是将要发布的视频是可以设置不显示位置信息的,怎么设置呢?以下是微信视频号怎么设置

  • QQ浏览器注重隐私,保护您的浏览信息!

    很多使用QQ浏览器的用户表示自己不用担心隐私问题,因为除了无痕浏览模式之外,QQ浏览器还设置了独属于个人的隐私空间。首先让我们来了解一下什么是无痕浏览模式,一般情况下我们通过浏览器进入网页之后,系统会自动生成浏览记录。其他人便可以通过浏览记录,了解到我们关注的资讯内容。而开启无痕浏览模式,在历史浏览记录中是不会出现浏览过的网页信息的,但收藏内容,点赞内容依然是有痕迹的。而QQ浏览器的私密隐藏空间,就是将

  • 有效防偷窥!苹果申请了一项AR眼镜隐私保护新专利

    苹果最近申请了一项名为“Privacy Screen(隐私屏幕)”的专利,可以通过AR技术,只允许佩戴“AR眼镜”的人才能看到iPhone/iPad屏幕内容,防止别人偷窥。

  • App Store高管:苹果审查每款应用程序可以更好保护客户隐私

    苹果公司CEO蒂姆·库克(Tim Cook)将于美国当地时间周三参加美国国会举行的反垄断听证会,并对苹果App Store做法是否对独立软件开发商不公平。

  • iOS14隐私保护功能升级 可一键禁用所有App追踪

    据外媒报道,苹果公司近日推出了iOS14 内测版可供使用,在隐私保护功能方面有重大升级。如果有APP在使用用户的摄像机,会有一个绿色灯亮起。如果有APP在使用用户的麦克风,将有一个橙色灯亮起。

  • 微信聊天记录怎么彻底删除?100%帮你解决隐私保护问题

    微信聊天记录怎么彻底删除?才能保证永远不被恢复?微信里面有很多我们的小秘密,网上有一个小段子 “就算是只剩最后一口气,也要先把手机里面和闺蜜的聊天记录删了”,其实这也足以可见微信聊天记录内容真的有很多是不能被别人看到的。那么到底应该怎么彻底删除微信聊天记录呢?以下就是给大家总结出来的方法,大家可以根据自己的实际情况进行选择!方法一:通过微信设置进行删除 微信聊天记录怎么彻底删除?这个方法可以快速帮你删除聊天?

  • 因涉嫌侵犯隐私被律师二度起诉 爱奇艺回应:提交相关信息是诉讼需要

    7月16日消息,因在超前点播案中爱奇艺向法庭提供了原告吴声威的个人登陆记录及观影记录,律师吴声威宣布二度起诉爱奇艺。吴声威表示,和爱奇艺之间的纠葛有了续集也是意料之外,这一切都缘于爱

  • 《区块链电子合同存证应用指南》发布 明确了电子合同在隐私等方面的原则

    8月3日消息,日前,2020区块链技术和应用峰会发布了《区块链应用案例集》、《区块链系统测试要求》、《区块链电子合同存证应用指南》等区块链系列标准化成果。其中,由京东数科牵头起草的《区块链电子合同存证应用指南》(以下简称《指南》)也在大会期间正式发布。《指南》明确了电子合同存证应用在隐私保护、合规、有效、可追溯、安全方面的一般原则,对存证数据的形式、内容,以及电子合同存证数据的上链、取证等关

  • 花呗部分用户接入央行征信 未来将逐步覆盖全部用户

    近日,花呗以服务升级的模式,接入央行征信。目前花呗的征信并未覆盖到所有用户群体,更像是邀约制,即首先覆盖优质用户,未来逐步对全量用户进行覆盖。

  • 超前点播案后律师二度起诉爱奇艺:因爱奇艺调取个人信息侵犯隐私

    7月15日消息,曾因超前点播案起诉爱奇艺的律师@吴声威wsw宣布二度起诉爱奇艺。吴声威表示,被告爱奇艺在超前点播案诉讼过程中擅自查看本人的爱奇艺登录记录及观影记录,这些属于个人信息,根据

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议
  • 热门标签