Shein的Android版本会将剪贴板数据上传服务器

光辉安卓

Shein的Android应用程序的旧版本存在一个错误,该错误会定期捕获剪贴板内容并将其传输到远程服务器。

Microsoft 365 Defender研究团队表示,他们在2021年12月16日发布的应用程序7.9.2版本中发现了该问题。该问题已于 2022年5月得到解决。

Shein,最初名为ZZKKO,是一家总部位于新加坡的中国在线快时尚零售商。该应用程序目前的版本为9.0.0,下载量已超过 1亿次。

这家科技巨头表示,它并没有“特别意识到行为背后的任何恶意意图”,但指出该功能并不是在应用程序上执行任务所必需的。

Shein Android 应用程序

它进一步指出,在将任何内容复制到设备剪贴板后启动应用程序会自动触发一个HTTP POST请求,其中包含发送到服务器“api-service[.]shein[.]com”的数据。

为了减轻此类隐私风险,谷歌近年来对Android进行了进一步改进,包括在应用程序访问剪贴板时显示toast消息,并禁止应用程序获取数据,除非它在前台主动运行。

研究人员Dimitrios Valsamaras和Michael Peck表示:“考虑到移动用户经常使用剪贴板复制和粘贴敏感信息,如密码或支付信息,剪贴板内容可能成为网络攻击的诱人目标。”

“利用剪贴板可以让攻击者收集目标信息并泄露有用数据。”

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处: https://blog.wuhao13.xin/4747.html

标签