JokerCatz
ಠ_ಠ - 更新IOS14以後可以發現,漫畫人這個app會竊取你複製過的任何資料

深有所感,很多行為與安全性都是互斥的(入內)
JokerCatz
取得複製內容拿來檢查是否有該 app 專屬的 link 或是相關作用,類似直接轉頁到該漫畫,且不想也不能用 QRcode 時(無法用於手機瀏覽器)這行為就會與安全性互斥,好死不死,iOS 又顯示了來源的 app 就變成了恐慌
JokerCatz
這是不是安全疑慮:是,但這功能就基本上無法實現,除非限制來源 app 但這樣就變成白名單,天知道使用者是在哪個 app 複製的?app link 要觸發才會實現,但複製的其實無法
JokerCatz
想起之前升鏡頭的安全性,如果該功能是探知環境光源來修正影片亮度,其實就很合理就是
JokerCatz
但歸到後面,其實就是 os / framework / sdk 沒有提供相對應的功能給開發者,類似這次複製的只需要註冊一個 regex 或 prefix 來做過濾,做限制集合應該就可以才是,但 os 方又會碰到太多 app 失效的問題,畢竟覆水難收
JokerCatz
這邊更有趣的符合人性與安全性互斥,且已經產生且沒人有疑慮的案例,類似 app 送簡訊到你手機 6 位數字後,你不用複製貼上或重新輸入,它卻能直接轉到下一頁:這其實代表它有看你簡訊的權限
JokerCatz
一些 IOT 設備(包括chromecast)能控制你的 wifi 來做初始設定的雙向 link 代表他能做完這行為後,取得你的 wifi 密碼同時進行 relay 就能完成 man in the middle
JokerCatz
JokerCatz
老實說一句,很多 app 都是開發者幾年的心血,後面可能有幾十幾百人的開發團隊,每個功能修正都是焦頭爛額,各方面考慮缺一不可,走錯路就會開始被砲轟和謾罵,而這次的更慘,無聊就染上竊取個資的罵名 ...... 嘛 ... os 方反而不用有任何的反應,這點真的很有趣
獨夜 x 月
Apple: 什麼?那是你們使用方式錯誤啦
△ΛSHIE▲
看到時就在想不是只要複製之後可以按貼上然後直接把剪貼簿內容ctrlV的任何app都有可以取用剪貼簿的權限嗎? 就跟臉書還有哀居那些可以貼照片的app都會有可以取得相簿的權限一樣啊
△ΛSHIE▲
容易引起爭議的最大問題應該是因為這類app雖然(大部分)一開始會問你「此app需要徵用你的麥克風/相簿/剪貼簿,同意不同意」,但其實點了不同意你就沒辦法用app的大部分功能了 也只能同意啦哪次不同意
所以這種為了使用功能而必須割捨自己的隱私,引起了情緒上的反彈吧
JokerCatz
△ΛSHIE▲ : 請去看我這篇中間引文的那篇(裡面有圖例),單純 iOS 14 遇到這種軟體,會強制跳出一小段文字,會顯示從"哪個 app"複製文字到此 app,然後把前面的"哪個 app"帶入任何名稱
JokerCatz
其實不提醒這件事情以前已經發生不知道多久了就是,單純 iOS 14 這次更新會顯示罷了
△ΛSHIE▲
有的時候造成問題的原因跟技術層面完全無關,但是技術人員卻必須去負擔改善問題的責任 只能跟噗主說一聲辛苦了⋯
JokerCatz
△ΛSHIE▲ : 我主力不寫 app 的呦哈哈 ... 單純不喜歡看到不食人間煙火罷了 ...
純奶茶(`(エ)´)
我好奇「記憶」的利與弊到底哪個多哪個少?像是我用台哥大app還有兆豐網站付帳單時,他會預先儲存你的活存帳號,(當然你可以刪除)
這樣是否也有安全上的疑慮?不過如果沒有紀錄,那每次都要自己重新輸入是不是會造成不變?
秋月霜下盼盼蟬
那為什麼安卓也說他是惡意軟體了?難道是跟風蘋果嗎?
JokerCatz
秋月霜下盼盼蟬 :其實 ... 我沒針對該 app 討論就是(都是針對該行為),and 其實 android 權限你可以不給它,它也就拿不到,不像 ios 幾乎全吃且權限控制很隱秘
JokerCatz
純奶茶(`(エ)´) : 這就是演算法的部分了,所謂的記憶不用記錄原文,演算法有很多簽章和檢核碼都能做到這點,也就是不記錄原文就能等同於原文的方式,現在資料庫的密碼也大概用此方式實作就是了,詳情請見 checksum / certificate / signature / salt / hmac / OpenPGP / md5 / sha1 / sha512 / RSA ...
載入新的回覆