偷看用戶剪貼簿！iOS 14 新安全通知揭 TikTok、Facebook 侵害隱私疑慮

iOS 14 剛於 6/23 的 WWDC 上發表，強調加強防護使用者隱私與安全，增加更多權限通知，以及調整地點分享範圍以及應用程式授權，開發者版本已經開放下載，一般使用者則要等到秋季。

iOS 14 推出沒幾天，Emojipedia 表情符號資料庫的執行長 Jeremy Burge 就在Twitter 上發文，表示發現 TikTok（抖音）會在使用者於 app 打字，卻沒有主動在 app 貼上文字的情況下，在背景存取使用者的剪貼簿資料。至於是怎麼發現的？因為 iOS 14 會主動通知 app 正在存取剪貼簿。

Okay so TikTok is grabbing the contents of my clipboard every 1-3 keystrokes. iOS 14 is snitching on it with the new paste notification pic.twitter.com/OSXP43t5SZ

— Jeremy Burge (@jeremyburge) June 24, 2020

由於 TikTok 風靡全球，特別在年輕族群受歡迎，又因其中資背景讓資安議題更尤其敏感。在 The Telegraph 的報導中，TikTok 回應存取剪貼簿是為了偵測濫發垃圾訊息的行為。不過經過大量反彈，TikTok 也表示為了避免造成使用者困擾，在更新版本中已經移除存取剪貼簿的防垃圾訊息功能。目前 iOS 14 下載新版 TikTok 後也已經不會出現安全警示通知。

不過 TikTok 並未進一步說明是否 Android 版本也會停止存取使用者的剪貼簿，也沒說明他們除了偵測剪貼行為來避免濫發垃圾訊息，是否還有另外儲存使用者的剪貼簿內容。

不過 TikTok 事件後，台灣的開發者皮樂也發文表示 Facebook 同樣會在選字時存取使用者的剪貼簿，在討論串中可以看到實測影片。

另外除了社群巨頭以外，其他像是 Starbucks、AccuWeather 等知名 app 都有回報出現自動存取使用者剪貼簿的情形。

不過在 Forbes 的專欄報導可以看到，已經有資安研究員早在今年 2 月就指出 Apple 的漏洞能讓應用程式自由存取剪貼簿。

研究員甚至釋出示範影片警告潛在的安全問題：

但經過回報，當時 Apple 回應看不出這有任何問題，好像認為這是正常發揮的功能一般，卻在近期 iOS 14 的更新中默默地新增了剪貼簿存取通知。由於 Apple 剪貼簿方便的 Universal Clipboard 功能，根據資安研究員的說法，Mac 上的 app 甚至可以存取到 iPhone 剪貼簿的內容。