安全研究人员发现，iphone和ipad上的剪贴板可以在用户不知情的情况下被这些设备上的任何应用程序访问，甚至是流氓应用程序。对于苹果来说，这只是功能按计划工作。但研究人员指出，恶意行为人可能会利用这个漏洞，开发一款“窃取”复制数据的应用程序。这些数据包括在设备上拍摄的照片，天辰平台这将包括用户的位置。

 

“我们在2020年1月2日向苹果公司提交了这个，”研究人员Talal Haj Bakry和Tommy Mysk在他们的披露中解释道。“在分析了提交的文件后，苹果告诉我们，他们不认为这个漏洞有什么问题。”

 

研究人员在他们的帖子中加入了一段概念视频的证明，其中包括一个说明性的应用程序(KlipboardSpy)和一个小部件(KlipSpyWidget)，以显示实际操作中的“缺陷”。视频被标记为“恶意应用程序如何从iPhone和iPad的剪贴板上窃取你的位置数据”。

 

“iOS和iPadOS应用程序可以不受限制地访问系统范围内的通用纸板，”披露警告称。“通过嵌入的图像属性中包含的GPS坐标，用户使用的任何应用程序将该照片复制到粘贴板后，都可以读取存储在图像属性中的位置信息，并准确推断出用户的准确位置。”这可以完全透明地发生，无需用户同意。”

 

从苹果的角度来看，这种风险与其说是令人担忧，不如说是一种假设，因为iOS将粘贴功能限制在活跃的前台应用程序上。研究人员对这种防御的反应是为Today视图创建一个小部件来监视复制的数据。同样，从理论上讲，这样一个小部件可以被一个类似有用的函数欺骗。

 

研究人员解释说:“恶意应用程序还可以采用其他技术，以增加应用程序读取公告板的可能性。”放置在Today视图顶部的小部件可以在用户每次点击Today视图时读取粘贴板，因此扩展了漏洞窗口。在iPadOS上，用户可以将Today视图配置为始终在主屏幕上可见，从而允许恶意应用程序小部件在更多时间和频率上访问粘贴板。”

 

为了解决这个问题，无论假设的风险有多大，天辰平台网址研究人员建议，在没有用户同意的情况下，不要让应用程序“不受限制地访问公告板”。最新版本的iOS加强了隐私设置，可能包括一项通过应用程序授予剪贴板访问权限的设置。或者，作为替代，将剪贴板的访问权限限制在“当用户主动执行粘贴操作时”。

 

苹果有用的跨平台功能，可以将数据复制到一个设备上(比如苹果电脑)，然后粘贴到另一个设备上，这在理论上使问题更加严重。

 

与许多此类“漏洞”一样，研究人员发现了一个潜在的安全漏洞，而不是一个被积极利用的漏洞。但是，随着国家资助的威胁组织和有组织的犯罪网络将攻击操作系统作为一种惯例，任何潜在的缺陷都为利用提供了一个起点。如果苹果公司在未来的版本中能够解决这个问题，那也不足为奇。