直通移动应用程序剪贴板保护:App用户隐私的监听保护程序
浏览:22 时间:2024-7-4

保护隐私权,渡边杏对应用程序说“越界”!

早在去年二月,海外版TikTok被指责出现了经常阅读剪贴板内容的问题,TikTok方面解释说,这是他们的反垃圾邮件战略。这是为了应对目前机器人水军通过脚本复制和粘贴大量输出垃圾内容的现象。但是不可否认的是,牙齿策略很容易伤害无辜的人,给人一种监视TikTok牙齿自己聊天内容的感觉。因此,TikTok最近提交了新版本,删除了反垃圾邮件功能,消除了潜在的误解。类似的情况引领着全球工作场所社交网络服务平台Linkedin牙齿LinkedIn,在此期间,经常阅读和复制用户剪辑信息,使用户难以接受。

技术人员的详细测试表明,大多数移动软件(包括QQ、WeChat和地平)经常阅读剪贴板内容。今年,Apple Global Developers Conference WWDC发表的iOS 14中还默默地添加了在应用程序访问剪贴板时向用户发送警告的功能。

信息泄露,微不足道的传单做了什么

事实上,在我们日常使用手机的过程中,复制地址、手机号码、认证代码、居民身份证号码、甚至银行账户、密码等重要信息是不可避免的。所有复制的信息都放在剪贴板上。剪贴板旨在为用户提供方便的操作功能,因此,自我整理机制不能确保信息的安全和信息使用权限,因此用户的隐私不能得到有效的安全。

从应用程序导入剪贴板的目的通常可以分为三个茄子大类别:“功能”、“跳转”和“信息”。

“功能”是指特定应用程序必须使用剪贴板来实现特定的操作过程(例如,“单词翻译”软件)。

大家都知道“跳跃”的功能。大家都看过“fu是这样说的”这个恶作剧的口令。(威廉莎士比亚,温斯顿,跳,跳,跳,跳,跳,跳,跳,跳)

信息功能是最常用的复制/粘贴、信息传递等手段。

牙齿三个茄子的情况都可以理解。因为使用剪贴板的行为本质上是由用户授权或主动操作的。但是,如果过度阅读用户剪贴板,甚至非法监控/获取剪贴板内容,即软件在前台或背景、公开或私有的情况下收集我们剪贴板上的资料,进行准确的宣传、用户肖像、甚至个人信息销售等行为,那么用户就有了隐私和个人信息。

安全保护,双剑不在手掌上颤抖

我们不能指责用户不注意隐私。相反,对于App操作员或开发人员本身来说,使用适当的技术手段保护用户的隐私和信息安全更为重要。(David assell,Northern Exposure,美国电视电视剧,隐私,隐私)这些保护手段包括剪贴板的操作权限、操作范围、信息安全和App的不同状态下的多种保护机制。

通过对移动应用中使用剪切板的安全风险问题的固定点方向方案研究和技术开发,pass shided移动加固团队提供了Android和iOS双系统下剪贴板的保护方案。

Android 1

Android剪贴板保护方案的主要目的是允许在App内部环境中随机复制和粘贴,但是内部复制的内容不能粘贴到App外部环境,有效防止剪贴板数据泄露,并防止从其他App窃取App内部的重要信息。

在Android环境中,剪贴板操作是通过ClipboardManager执行的,因此主要是拦截ClipboardManager,以便相对控制“导入剪贴板数据”和“设置剪贴板数据”的方式。核心过程如下图所示。

付款盾牌增强-Android剪贴板保护方案技术方案示例

用户在App内执行复制操作时,数据将存储在剪贴板上。牙齿时将内容保存到数据库中,然后清空剪贴板的内容。

用户粘贴到App内部时,将从数据库中提取内容,并返回要粘贴的内容。

在整个复制/粘贴过程中,整个App内部剪贴板的内容为空。同时,数据库中存储的内容经过解密系统处理后,回复到纯文本状态,以确保用户自身的正常使用。

此外,牙齿操作不会影响App外部剪贴板的内容,当用户在App外部复制和粘贴时,操作正常。不影响用户体验,不公开App内部的个人信息数据。

实现效果

1.确保不影响剪切板的正常使用,不恶意窃听剪切板的隐私权数据。

2.数据存储库使用加密和密码分析操作,极大地提高了信息的安全强度。

IOS

IOS中的剪贴板保护主要涉及以下三个茄子:

1.加密剪贴板上缓存的数据,以提高解密数据的难度,并防止攻击者劫持剪贴板时轻松获取实际数据。

2.当应用程序进入后台时,清理剪贴板上缓存的数据,以防止第三方恶意使用缓存的数据。

3.当应用程序返回前台时,再次执行分配任务,以便在应用程序节目中正常使用剪贴板,从而提高用户体验。

IOS剪贴板的保护一方面是通过UIPasteboard的截取实现的,另一方面是从剪贴板导入数据和设置剪贴板中数据的方法。核心流程图如下图所示。

贯通屏蔽加固-iOS剪切板防护节目技术方案实例

“复制”(copy)操作将数据存储在剪贴板上。现在将存储的数据导入到加密和密码分析系统中。如果用户在应用程序节目中粘贴,则需要粘贴的数据将通过调用密码分析系统进行解密返回。

在牙齿过程中,整个应用内部剪贴板的内容将被视为数据加密。此外,牙齿操作不会影响应用外部剪贴板的操作,当用户在应用“粘贴副本”(paste copy)之外执行复制粘贴时,也可以执行正常操作。不会影响用户体验,也不会泄露应用程序的个人信息数据。

IOS剪贴板的保护是应用生命周期状态的更改,当程序作为后台作业进入时,将剪贴板缓存中的数据本地保存并清空剪贴板,从而防止第三方应用程序访问当前应用的剪贴板数据。当侦听器返回前台时,将剪贴板数据调用到加密和密码分析系统,如果剪贴板数据为空,则将值分配给本地数据。确保应用程序内部数据的一致性和完整性。

取得效果

1.现在,iOS14的剪切板保护功能得到了扩展,填补了iOS14及更早版本剪切板保护的空白。

2.确保剪切板数据应用的安全性,增加攻击者破解的困难。

3.确保当前应用传单中使用的数据的一致性和完整性。