三星One UI系統(tǒng)曝出重大安全漏洞，通過剪貼板功能導(dǎo)致數(shù)百萬用戶的敏感信息面臨泄露風(fēng)險(xiǎn)。

剪貼板數(shù)據(jù)永久存儲(chǔ)

安全研究人員發(fā)現(xiàn)，運(yùn)行Android 9及以上系統(tǒng)的三星設(shè)備會(huì)將所有剪貼板內(nèi)容——包括密碼、銀行賬戶詳情和個(gè)人消息——以明文形式永久存儲(chǔ)，且沒有自動(dòng)刪除機(jī)制。

剪貼板功能深度集成于三星One UI系統(tǒng)架構(gòu)中，無論用戶使用何種鍵盤應(yīng)用，都會(huì)完整記錄所有復(fù)制內(nèi)容。即使用戶切換至谷歌Gboard鍵盤（通常會(huì)在1小時(shí)后刪除剪貼板內(nèi)容），三星的系統(tǒng)級(jí)實(shí)現(xiàn)也會(huì)覆蓋這一安全特性。

三星社區(qū)論壇版主在回應(yīng)用戶投訴時(shí)承認(rèn)："目前沒有內(nèi)置設(shè)置可以自動(dòng)刪除剪貼板內(nèi)容，這確實(shí)可能帶來安全風(fēng)險(xiǎn)。"該公司承諾會(huì)將反饋轉(zhuǎn)交開發(fā)團(tuán)隊(duì)，但未提供修復(fù)時(shí)間表。

漏洞技術(shù)原理

該技術(shù)問題源于三星對(duì)Android剪貼板API的實(shí)現(xiàn)方式。雖然標(biāo)準(zhǔn)Android通過ClipboardManager接口提供安全機(jī)制，但三星One UI繞過了這些保護(hù)措施。

谷歌在Android 12中專門引入了ClipDescription.EXTRA_IS_SENSITIVE標(biāo)志來解決剪貼板安全問題：

然而三星的剪貼板實(shí)現(xiàn)忽略了這些安全標(biāo)志，將所有復(fù)制內(nèi)容保存在持久存儲(chǔ)中。一位用戶在三星社區(qū)論壇中表示："這是一個(gè)應(yīng)該優(yōu)先處理的嚴(yán)重安全缺陷。剪貼板歷史記錄永久存儲(chǔ)敏感數(shù)據(jù)的明文不僅是不便，更是漏洞。"

安全風(fēng)險(xiǎn)與應(yīng)對(duì)建議

安全專家警告，該漏洞創(chuàng)造了多種攻擊途徑。攻擊者只需接觸解鎖狀態(tài)的設(shè)備，就能輕易查看所有曾復(fù)制的密碼。更令人擔(dān)憂的是類似StilachiRAT這類專門竊取剪貼板數(shù)據(jù)以獲取憑證和財(cái)務(wù)信息的惡意軟件威脅。

在三星發(fā)布修復(fù)方案前，安全專家建議：

• 復(fù)制敏感信息后手動(dòng)清除剪貼板歷史
• 密碼管理器用戶應(yīng)使用自動(dòng)填充功能而非復(fù)制粘貼
• 可安裝SwiftKey等第三方鍵盤（雖然系統(tǒng)級(jí)存儲(chǔ)仍會(huì)保留信息，但這些鍵盤會(huì)在一小時(shí)后自動(dòng)清除剪貼板內(nèi)容）

該漏洞已引發(fā)三星設(shè)備用戶的強(qiáng)烈擔(dān)憂。一位社區(qū)成員表示："作為三星忠實(shí)用戶，隱私問題將嚴(yán)重影響我的購(gòu)買決策。在當(dāng)前環(huán)境下，隱私保護(hù)至關(guān)重要。"據(jù)悉，該安全問題已存在多年，Reddit、XDA和三星論壇上均有用戶提出擔(dān)憂，但始終未獲實(shí)質(zhì)性解決。