几天前，我报道了安全研究人员塔拉勒·哈吉·巴克里(Talal Haj Bakry)和汤米·米斯克(Tommy Mysk)披露的情况，即iphone和ipad上的剪贴板很容易被那些设备上的“恶意”应用程序利用，“窃取”复制到剪贴板上的任何数据。苹果认为，这只是复制粘贴功能的正常工作，但它似乎打开了一个安全漏洞，可能会让用户感到惊讶。

 

显然，风险已经超出了iphone和ipad的范畴。研究人员现在回来了，天辰注册他们告诉我，“我们在文章中暗示，通用剪贴板也可能受到这种漏洞的影响，窃听用户在mac上复制的内容。”这将是一个问题。因为，虽然复制和粘贴在iOS设备上的使用可能相对较少，但在Mac上则是日常事务。

 

风险的出现是因为，正如苹果公司所解释的，你可以使用通用剪贴板“在你的苹果设备之间复制和粘贴——你可以在一个苹果设备上复制文本、图像、照片和视频等内容，然后在另一个设备上粘贴这些内容。”

 

研究人员在2月26日告诉我:“关于这一点，我们收到了很多请求，所以我们添加了一个视频，演示iPhone或iPad应用程序如何窃听Mac上的剪贴板。”

 

“我们在2020年1月2日向苹果公司提交了这个，”研究人员在他们最初的博客中解释道。“在分析了提交的文件后，苹果告诉我们，他们不认为这个漏洞有什么问题。“我已经联系了苹果公司，希望得到进一步的评论。

 

风险在于iOS设备上需要一个前台应用程序。研究人员通过在Today视图中创建一个小部件“增加了应用程序读取公告板的可能性”，“因此扩展了漏洞窗口”。

 

博客本身关注的是恶意行为者可能会开发一款应用程序来监视剪贴板，然后访问附加到设备上拍摄的照片上的元数据。正如Sophos公司所解释的那样，“恶意应用程序可以利用它来确定用户的位置，即使该用户已经锁定了应用程序的位置共享。”“然而，从漏洞利用的角度来看，在Mac上复制的数据可能会被附加的iOS设备上的恶意应用嗅出，天辰平台这似乎是一个更大的问题。”

 

研究人员给苹果的建议是:删除对剪贴板的无限制访问——最新版本的iOS中的隐私设置可能包括一个通过应用程序授予剪贴板访问权限的设置。或者，作为一种替代方法，将剪贴板的访问权限限制在“当用户主动执行粘贴操作时”。

 

正如我在最初的报告中所说的，这只是一个潜在的安全漏洞，没有人声称它已经在野外被利用了。但是，随着国家支持的威胁组织和有组织的犯罪网络将攻击操作系统作为一种惯例，任何潜在的漏洞都将成为攻击的起点。“我仍然认为，苹果将在未来的版本中解决这个问题，并修补这个漏洞。