议题背景
新闻指出,透过剪贴簿(universal clipboard)的功能,Mac或iPad上複製或剪下的文字或内容,都可以用iPhone读取,而抖音(TikTok)这个短影音平台App,可以在使用者不知情的状况下,读取iPhone剪贴簿内容,包含複製的密码、信用卡资讯、文字等。
最新的消息是已宣布禁止使用抖音,的安卓和苹果商店已移除抖音App,无法下载使用。
相关新闻与讨论:
苹果日报:「抖音」海外版被发现可读取用户剪贴簿资料 联合报:不只TikTok抖音!iOS 14揭露多款App都会偷看iPhone剪贴簿究竟大众该如何看待使用抖音App的资讯安全?我们邀请专家回应如下。
徐瑞壕(国立中山大学资讯工程学系助理教授) 2020年7月3日目前报导出抖音App的问题在于,它会在使用者不知情的状况下,存取剪贴簿的内容,可能包含机密的资料,例如帐号密码、信用卡资讯等。
如果一个App的文书编辑功能,通常会需要存取剪贴簿所储存的资讯,然而这样的操作通常不会大量频繁地重複进行存取的动作。而以抖音的App型态,也看不出其有任何理由,需要多次存取剪贴簿的资料。
其实不只抖音App,其他App也会在没有经过使用者同意下,拥有存取手机内其他资料的权限,我们称这种App为「流氓软体」。早期的手机作业系统没有特别防範这个问题,系统是Android 9以下的手机,就无法让使用者直接设定软体存取手机内资料的权限。但Android 10以上的手机,已经禁止任何软体存取剪贴簿的文字。
虽然抖音App声称已经更新软体,可能解决了旧的问题,但若下一个版本有新的问题,一般使用者无法检查,也很难得知。
目前要确保使用影音相关App时的资讯安全,经济部工业局有一个「行动应用App基本资安检测基準」,是根据厂商提供的文件,来检测一个App会读取哪些资料或档案。
但是一般使用者在使用App时,难以分辨一个App到底需要哪些权限、不需要哪些权限,手机通知使用者App要求获得权限时,使用者也难以判断是否要答应授权。所以建议培养大众的基本资安防护概念,保护个人资料的效益,可能胜过于教大众使用专业资安技术。
例如最简单的方式是避免使用有资安疑虑的App,还有具高度机密的个人资讯(例如网路银行密码)尽量避免用剪贴的方式输入,而改用手动输入,也可直接避免剪贴簿资料外洩的风险。
本文经新兴科技媒体中心授权刊登,原文刊载于此