iOS粘贴板完全透明，Apple表示可以

• 任何应用都可以潜在地访问存储在iOS粘贴板上的信息，而不必具有这样做的权限。
• 该信息可以包括文档，位置数据，密码，IBAN，音频，URL等。
• Apple已收到有关此问题的报告，但回应称此功能没有错。

Mysk的研究人员报告了一个令人担忧的问题，该问题与iOS和iPadOS中使用的粘贴板有关，该粘贴板使一个应用程序可以复制另一应用程序保存在其中的数据。由于粘贴板是系统级的，并且无法在任何应用程序级别的限制下运行，因此用户的敏感数据可能会受到威胁。 Mysk给出的一个示例是使用“相机”应用程序拍摄照片，然后将其复制到粘贴板上。启动另一个应用程序时，它可能会访问用户先前捕获的图像元数据中包含的位置信息。不需要用户同意，实际上，用户很可能根本不会意识到这一点。

资料来源：Mysk Blog

此问题影响所有运行最新版本的iOS和iPadOS v13.3的所有Apple设备。为了向苹果公司演示问题，Mysk创建了一个名为“ KlipboardSpy”的简单工具，该工具可以不受限制地从iOS粘贴板中获取数据，就像其他任何iOS应用程序一样。通过使用此工具，他们可以仅通过从粘贴板上抓取以下数据来推断以下数据：

• GPS坐标
• 照片时间戳
• 用于照片的装置
• 立即使用的设备
• 捕获期间使用的操作系统版本
• 当前使用的操作系统版本

比较iOS版本和设备ID的目的是确定位置数据的可靠性。当前设备在最新的iOS版本上拍摄的最新图像可以提供可靠的位置数据。否则，它们可能会保存在其他用户的粘贴板上，其他用户是通过聊天应用程序将其发送或从Internet下载的。

虽然研究人员着重于弄清楚演示中人物的位置，但粘贴板也可能包含其他敏感数据。示例包括整个文件，例如PDF和电子表格，先前访问的URL，IBAN，电子邮件，联系人，注释，音频文件，甚至是密码。更糟糕的是，苹果几年前已经统一了iOS和macOS的粘贴板，因此，如果用户启用了“通用剪贴板”，则iOS应用也可能会窃取macOS数据。

奇怪的是，Apple于2020年1月2日收到了Mysk的通知，其中包含“ Klipboard Spy”代码。分析提交内容后，他们回应说他们认为那里没有错。苹果公司不接受存在任何隐私风险，因为他们认为他们证明进入App Store的所有应用程序都不会参与从粘贴板中获取恶意数据的行为，并且仅在需要时才访问信息以提高其可用性和实用性。无论采用哪种方式，iOS都可以为用户提供对每个应用程序的数据访问权限的精细控制，但是粘贴板的工作方式无法达到这些设置的目的。