系统剪贴板中的安全问题

前言

今天看到一篇文章，《流氓应用隐私收割利器：苹果设备剪贴板泄漏GPS信息隐患分析》,提出了一种不需要获取定位权限即可获取到用户当前位置的方法。

但是在梳理攻击流程的时候

发现，这种攻击的危害性并不像文章中所写的那么严重。但也第一次让我看到系统剪贴板中可能存在的许多安全“隐患”。因此整理一下，与系统剪贴板相关的安全研究。

1.Apple设备剪贴板隐私信息泄露（未确认）

具体分析参考《流氓应用隐私收割利器：苹果设备剪贴板泄漏GPS信息隐患分析》

利用条件

• 对于Apple设备，用户需要授予“相机”应用访问位置服务的权限，并使用”相机”应用拍摄照片（照片图像嵌入EXIF属性，其中包含GPS坐标）
• 用户将照片复制到剪贴板（剪贴板中有照片图像）
• 用户安装了所谓的流氓软件（iOS和iPadOS应用程序可以不受限制地访问系统内的通用剪贴板，流氓软件会通过自动读取剪贴板中包含位置信息的图片，来获取敏感数据）
• 用户在复制了照片后打开流氓软件，或利用窗口小部件（Widgets）使得流氓软件在前台处于活动状态（iOS和iPadOS设计为仅当应用程序在前台处于活动状态时才允许应用程序读取剪贴板）

综上看来，攻击面似乎比较窄。

相关资料

[1] Apple文档，UIPastedboard, https://developer.apple.com/documentation/uikit/uipasteboard

2.剪贴板挟持

参考文章：《剪贴板幽灵：币圈的神偷圣手》

图：主要的劫持流程图

加强方案

Android

Android Q 版本后，只有默认输入法(IME)或者是目前处于焦点的应用, 才能访问到剪贴板数据。不过用户可以手动设置默认输入法，但应用在后台已经不能监听剪贴板数据了。

参考Android Q剪贴板适配方案：Link

Linux

利用xlip，参考：Link，非官方，不保证方案的安全性

相关资料

[1] Chris Thornton, Clipboard Virus? Not exactly, but still dangerous.,

[2] StackExchange, How can I protect myself from this kind of clipboard abuse?