想象一下,你刚刚从密码管理器复制了一个密码或银行登录信息。然后你想:“等等,粘贴之后这些信息会消失吗?”
事实证明并非如此。你复制的密码只是以纯文本形式保存在剪贴板上,并且无限期地保留。
一位用户在美国三星社区论坛上写道:“我一直从我的密码管理器中复制密码。”
“它们又长又复杂……三星的剪贴板怎么能把所有内容都以纯文本形式保存,而且没有过期时间?这是一个巨大的安全问题。”
而用户并没有错。
三星剪贴板深深融入其 One UI 系统,是三星电子为运行 Android 9 及更高版本的智能设备开发的用户界面。
剪贴板记录您复制的所有内容 - 密码、银行信息、私人消息以及您从未发送过的令人尴尬的分手段落。
无论您使用 Gboard(众所周知,它会在一小时内删除剪贴板)还是第三方键盘,您的复制/粘贴历史记录仍然受三星的管辖。没有自动删除选项。
该用户补充道:“至少应该有一个选项,可以在几个小时后自动删除剪贴板历史记录。”
“现在,唯一的选择就是手动进入并删除敏感内容......这太疯狂了,”用户抱怨道
三星的回应
“您提出的担忧是合理的......没有内置设置在一定时间后自动删除剪贴板内容,这确实会带来安全风险,”社区委员会的一位三星版主回应道。
“我们同意,添加诸如在 X 分钟/小时后自动清除剪贴板或从剪贴板历史记录中排除敏感应用等选项,将是有价值的改进,”版主说道。他们承诺会将反馈转发给“相关团队”。
目前,他们最好的建议是手动删除剪贴板并“直接从密码管理器使用安全输入方法”。
这实际上为什么重要?
如果有人拿起你未锁定的手机,检查剪贴板,一切都在那里等着你。更糟糕的是,窃取信息的恶意软件会一直潜伏在那里,随时准备从你的剪贴板窃取数据。
剪贴板是黑客的金矿。像StilachiRAT这样的恶意软件实际上就是为了监视剪贴板,寻找密码、加密钱包密钥以及任何可以悄悄窃取的敏感文本。
最近,攻击者入侵了欧洲军事网络,使用远程桌面协议访问受感染系统的剪贴板数据。
他们不是在猜测密码,而是在观察人们复制并粘贴密码。
如果受国家支持的网络犯罪分子潜伏在你的剪贴板中,也许我们应该更加认真地对待它。
甚至一些应用程序,例如 TikTok,也被发现在后台悄悄读取剪贴板数据。
剪贴板技术已经跟不上我们粘贴内容的敏感性。它保存着密码、双因素验证码、加密地址和私人 URL——所有这些都以纯文本形式存储。
原文始发于微信公众号(独眼情报):三星手机剪贴板以纯文本形式留存你的内容
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论