网络安全技术 ·

最近,你的手机莫名其妙出现这串灵异代码了吗?


文章来源:扩展迷EXTFANS

最近,大量网友在网上发布求助帖:剪切板莫名其妙突然出现了灵异代码,怎么办?

综合网上的用户反馈,这些代码的开头看起来有点类似淘宝的淘口令。

许多用户表示,本来以为可能是手机放口袋时误触的,现在发现这个不是。

而在网上搜了下,这样的情况不是个例。

也有网友在相关帖子下表示,“这是你浏览的某些流氓网站给你复制到剪贴板的,此技术前段时间流行用在淘宝分享或者支付宝上。你浏览了网站,自动给你复制到剪贴板,当你打开淘宝就会提醒你是否打开好友分享的淘口令,给某些投机份子谋利。当然这不是淘宝的锅,只是某些人利用了这个机制。”

根据蓝点网的解释,手机剪切板被自动复制淘口令或者支付宝红包码估计大家都遇到过,简单来说,这是由于你的手机操作系统并未限制剪切板读取写入,然后被钻了空子。

不过,今天我们所说的这串代码的开头尽管很像某些购物口令,但是后面的超长字符串的具体含义又无从得知。

于是,蓝点网对近期频繁出现的字符串进行了测试,经过多次转码解密后发现该问题实际上和手机输入法关系不大。

通过URL转码后可以看到,实际链接内容是百度百家号移动版的。

上图转码后的URL链接打开后如下:

蓝点网在多次测试后发现,这个问题与百度输入法没什么关系,而是百度百家号在用户加载时复制的。

简单来说,就是用户使用手机浏览器查看百度百家号内容时,如果点击加载剩余部分按钮就会自动复制上述字符串......

而复制的字符串经过转码和加密放在剪切板里,但是,这串加密后的字符串实际上即便直接粘贴到浏览器也并不能访问。

所以,至于百度百家号为什么会在用户的剪切板写入这段加密内容就是个迷了。

其实,进一步搜索还可以发现不止百度,国内不少新闻和资讯网站也会这么干,但这么做的出发点暂时还是没法搞清楚。

但是,手机允许任意App和网页读写剪切板无疑会带来严重的隐私问题。

今天我们提到的还仅仅是写入字符串,不算太大问题,如果是直接读取用户复制的内容,又恰巧是用户的账号密码,这个后果就严重了。

此前已经有研究人员警告称操作系统不限制剪切板读取有风险,不知道未来安卓和iOS系统是否会对此进行改进。

本文由 华盟网 作者: 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。

参与评论