中国跨境电商应用Shein的一个版本在谷歌Play商店中的下载量已超1亿次。但研究发现该软件会对Android设备的剪贴板进行非必要访问，并将内容传输至远程服务器，从而引发安全问题。

在3月6日发布的博文中，微软研究人员表示他们发现的问题存在于2021年12月16日发布的Shein 7.9.2版本，并确认问题已经在2022年5月得到解决。用户只要更新已安装应用，即可防止潜在的恶意攻击。

剪贴板已经成为网络攻击中备受关注的目标，移动用户经常通过剪贴板来复制和粘贴敏感信息，例如登录凭证、财务数据及个人信息。恶意黑客可以窃取剪贴板数据，进而发动钓鱼攻击、密码窃取或实施其他欺诈活动。甚至有攻击者会篡改剪贴板内容以开展恶意活动，例如修改剪贴板内的加密货币钱包地址，导致用户向钱包应用中粘贴的内容发生变化。

微软表示，他们无法断言Shein事件是否存在恶意意图，但表示该应用没有必要访问剪贴板。外媒SC Media已经就此事向Shein发出置评请求。

微软指出，“即使Shein复制剪贴板的行为不存在恶意，此事也凸显出已安装的应用可能带来的风险，包括那些极受欢迎、从官方应用商店下载的手机软件。”

微软安全检测并验证了Shein的剪贴板操作，方法是对该应用执行静态分析以查找“对应此项操作的代码”，之后再通过动态分析“在检测环境中运行该应用，进一步观察代码行为”。

图：Shein应用中导致剪贴板访问的调用链示例。

根据微软的研究结果等，谷歌意识到涉及剪贴板的潜在威胁，并做出以下调整以保护Android平台。

在Android 10及更高版本中，除非在默认输入法编辑器内明确设置，否则应用无法访问剪贴板数据。

在Android 12及更高版本中，当应用首次调用并访问来自其他应用的剪贴数据时，会有提示消息向用户报告这一访问行为。

在Android 13中，剪贴板内容会在一段时间后被清除，借此加强保护。

参考资料：scmagazine.com

来源：安全内参