Shein 应用程序隐私漏洞引发安全担忧

重点信息

Shein 应用程序在未经过用户同意的情况下访问 Android 设备剪贴板，并将内容传输到远程服务器。微软研究人员在 2021 年 12 月发现了这一问题，并确认 Shein 已于 2022 年 5 月解决此问题。用户应保持应用程序的最新版本，以防止潜在的恶意攻击。Google 采取措施加强 Android 平台的安全性以防止剪贴板数据滥用。

Shein 购物应用程序的一个版本在Google Play 上的下载量超过 1 亿，却不必要地访问了 Android 设备的剪贴板，并将内容传输了到一个远程服务器，这引发了安全隐患。

在 3 月 6 日的博客文章中，微软的研究人员表示，他们在 2021 年 12 月 16 日发布的版本 792 中发现了这一问题，并确认 Shein 在 2022 年 5 月对此进行了修复。用户应保持已安装应用程序的更新，以防止潜在的恶意攻击。

剪贴板往往成为网络攻击的目标，因为移动用户经常用它们复制和粘贴敏感信息，例如登录凭据、财务数据和个人信息。攻击者可以窃取剪贴板上的数据，以发起网络钓鱼攻击、窃取密码或执行其他欺诈活动。甚至有攻击者通过修改剪贴板内容来实施恶意操作，比如在用户把地址粘贴到加密钱包应用之前，更改加密货币钱包地址等。

微软表示，他们无法具体说明 SHEIN 的行为是否有恶意意图，但建议访问剪贴板的这一功能并非必要。SC 媒体已联系 Shein 以获取更多信息。

微软表示：“即使 SHEIN 的剪贴板行为没有恶意意图，这一案例仍然突显了已安装应用可能带来的风险，包括那些在官方应用商店中备受欢迎的应用程序。”

微软通过对该应用进行静态分析来确认 Shein 的剪贴板行为，寻找“与该行为相关的代码”，然后进行动态分析，在“一个施加了监测的环境中运行应用，以观察代码”。

快连电脑版

(来源：微软)

在微软研究结果的推动下，谷歌认知到与剪贴板相关的潜在威胁，并采取了以下措施来保护 Android 平台：

Android 版本主要变化Android 10 及以上应用程序无法访问剪贴板数据，除非它被设置为默认输入法。Android 12 及以上当应用首次访问其他应用的剪贴板数据时，会出现提示信息通知用户。Android 13剪贴板内容将在一定时间后自动清除以增强保护。

以上措施旨在提升用户隐私安全，并保护他们的敏感信息免受潜在攻击。