苹果将阻止应用程序在未经用户同意的情况下偷偷读取macOS剪切板防止泄露隐私
山外的鸭子哥
#系统资讯 苹果将阻止应用程序在未经用户同意的情况下偷偷读取 macOS 剪切板防止泄露隐私,苹果计划在 macOS 16 中添加的剪切板权限与 iOS 类似,读取剪切板时都要用户授权。新 API 可以阻止加密货币领域常见的偷取助记词 / 私钥或替换钱包地址的行为,应该有助于保护用户的隐私和财产安全。查看全文:https://ourl.co/108984
自 iOS 14 以来苹果已经在 iPhone 中对剪切板读取权限进行限制,默认情况下应用程序若要读取剪切板内容会弹出提醒,在用户授权后方可读取内容,但如果用户是主动进行粘贴操作则不需要弹出任何授权提示。
现在苹果也计划对 macOS 系统进行同样的更改,防止应用程序在未经用户同意的情况下偷偷读取 macOS 剪切板内容,这样可以避免用户在复制敏感内容时被某些应用程序窃取。
据苹果分享给开发者的信息,macOS 16 中的剪切板权限与 iOS 类似,如果用户主动操作复制粘贴的动作则不会弹出任何授权提示,但如果应用程序没有与用户交互的情况下尝试读取剪切板内容则用户会受到警报,只有在用户明确点击同意后应用程序才能读取。
值得注意的是苹果将对 macOS 剪切板相关接口进行改造,开发者能够检查剪切板上的数据类型而不需要实际读取内容,用户也可以设置是否允许应用程序始终允许、永远不允许或每次粘贴时发出请求权限的警报。
这种新的隐私设计确实非常重要,苹果软件工程师 Jeff Nadeau 就提到,苹果遇到过一些应用程序在后台不断读取剪切板的情况,从用户隐私角度来说这种不断读取剪切板将存在严重的威胁。
还要一种在加密货币领域比较流行的攻击方式就是读取剪贴板并替换内容,例如用户在复制某个钱包地址准备转账时,恶意软件通过不断读取剪切板发现用户即将进行转账的动作,然后将其替换为黑客持有的钱包地址。
另一种攻击方式是恶意应用在后端不断读取剪切板,探查用户是否复制助记词或者钱包私钥等行为,如果探查到复制的是助记词或私钥则直接偷偷盗窃用户的钱包,现在有了剪切板权限提示后这种情况都可以拦截了。
