Shein的Android版本会将剪贴板数据上传服务器

Shein的Android应用程序的旧版本存在一个错误，该错误会定期捕获剪贴板内容并将其传输到远程服务器。

Microsoft 365 Defender研究团队表示，他们在2021年12月16日发布的应用程序7.9.2版本中发现了该问题。该问题已于 2022年5月得到解决。

Shein，最初名为ZZKKO，是一家总部位于新加坡的中国在线快时尚零售商。该应用程序目前的版本为9.0.0，下载量已超过 1亿次。

这家科技巨头表示，它并没有“特别意识到行为背后的任何恶意意图”，但指出该功能并不是在应用程序上执行任务所必需的。

它进一步指出，在将任何内容复制到设备剪贴板后启动应用程序会自动触发一个HTTP POST请求，其中包含发送到服务器“api-service[.]shein[.]com”的数据。

为了减轻此类隐私风险，谷歌近年来对Android进行了进一步改进，包括在应用程序访问剪贴板时显示toast消息，并禁止应用程序获取数据，除非它在前台主动运行。

研究人员Dimitrios Valsamaras和Michael Peck表示：“考虑到移动用户经常使用剪贴板复制和粘贴敏感信息，如密码或支付信息，剪贴板内容可能成为网络攻击的诱人目标。”

“利用剪贴板可以让攻击者收集目标信息并泄露有用数据。”

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/4747.html