SHEIN是一款Android服装购物应用,在Google Play上的下载量超过1亿次,该应用向远程服务器发送敏感的剪贴板内容。
SHEIN是一家总部位于新加坡的中国在线时尚零售商,产品销往全球150个国家。 它的估值为10亿美元,并于2022年成为全球最大的时装零售商。
微软的威胁研究人员发现了这一危险的应用程序行为,并向谷歌报告,而SHEIN的开发人员在2022年5月发布的更新中删除了应用程序中的剪贴板数据检索功能。
微软称未发现任何恶意迹象。 但是,该应用程序的行为仍然给用户带来了不必要的风险,而且也不需要提供购物应用程序的核心功能。
"即使SHEIN的剪贴板行为不涉及恶意,这个案例也凸显了已安装应用可能带来的风险,包括那些从平台官方应用商店获取的高人气应用"。
- 微软
ins外网加速器下载
微软研究人员Dimitrios Valsamaras和Michael Peck使用静态和动态分析工具和技术分析了SHEIN应用程序7.9.2版本,重点分析了访问剪贴板内容的代码。
剪贴板是操作系统上的一个临时存储区域,用于保存复制的数据内容,如文本、图像、密码等。 因此,它可能包含敏感信息。
分析人员发现,SHEIN包含在应用程序启动时以及用户与应用程序交互时读取设备剪贴板内容的代码。
如果在剪贴板中发现特定字符,如"$"和"://",应用程序会将剪贴板内容发送到远程服务器 "https://api-service[.]shein[.]com/marketing/tinyurl/phrase"。
研究人员在Android 9测试设备上证实了这一危险行为,他们使用Burp Proxy工具捕获了相关请求。
Valsamaras告诉RestorePrivacy,该应用程序的开发者没有说明使用特定字符作为剪贴板数据虹吸触发器的原因。 不过,他指出,这种情况似乎并不是恶意的,而是由于继承了具有特定代码的类而导致的错误。
尽管如此,该案例表明,如果应用程序想要访问剪贴板并将其内容泄露到外部服务器,几乎没有任何障碍可以阻止。
此外,即使SHEIN的案例看起来并非出于恶意,但任何不必要的数据交换都会增加中间人入侵或公司流氓员工利用存储在私人服务器中的数据的可能性。
外网加速器安卓版下载
从Android 10开始,谷歌为后台运行的应用程序引入了剪贴板访问限制。
然而,由于SHEIN应用程序在前台运行时表现出危险行为,这些保护措施无法阻止数据访问。
在Android 12上,谷歌增加了一个通知功能,当应用程序首次访问剪贴板时通知用户。
目前谷歌最新版本的移动操作系统Android 13会定期清除所有剪贴板内容,以防止未经授权访问敏感数据。
建议用户尽可能避免使用 "复制粘贴 "功能粘贴高度敏感的信息,因为它会将这些数据写入剪贴板,并考虑删除访问该空间的应用程序,尽管这些应用程序的功能并不重要。
感谢您分享这些文章和您的工作。 很高兴看到这样的地方仍然保持活跃并帮助人们。
这就是许多网站,尤其是金融机构现在让您做的事情:手动输入30多个密码。 他们禁用粘贴功能。 就连我所在的麦当劳也是如此。
您可以使用一个名为NetGuard的免费应用程序来防火墙任何不在root级别运行的应用程序。
伟大的文章,海因里希!
这让我对剪切和粘贴密码的人产生了怀疑...
这对于使用密码管理器的人来说很常见。 我在Android和Linux上使用KeyPass。 所以是的,即使是有经验的计算机用户也会将密码复制到剪贴板中。 我不太喜欢输入随机生成的30多个字符的长密码。