iOS 14 vô tình tiết lộ: Zalo lấy trộm dữ liệu từ bộ nhớ tạm!
/14 người
DuyQuang91
7 ngày trướcBình luận: 120Lượt xem: 50.251
Xin chào, mình là Quang, hiện mình đang là 1 kỹ sư phần mềm iOS, trong quá trình trải nghiệm iOS 14 beta để phục vụ cho công việc, mình có phát hiện ra 1 sự thật đáng buồn về quyền riêng tư sử dụng Zalo.



Nhưng trước tiên mình muốn nói về 1 tính năng bảo mật mới trên iOS 14. Khi bạn copy và dán nội dung thì iOS 14 sẽ thông báo cho bạn biết nội dung được copy/dán qua lại giữa các ứng dụng nào.
Ví dụ mình vào ứng dụng Ghi chú, ghi vài dòng chữ và sau đó copy rồi vào ứng dụng Tin nhắn để dán nội dung, ngay lập tức iOS 14 sẽ hiển thị 1 thông báo ở trên để chúng ta biết rằng nội dung đã được dán từ ứng dụng Ghi chú qua ứng dụng Tin nhắn.

IMG_1883.PNG

Mình vô tình mở Zalo lên thì thấy rằng Zalo cũng đang lấy nội dung mà mình copy trước đó mặc dù mình không hề thao tác gì thêm:

IMG_1880.jpg
Đây rõ ràng là 1 tác vụ ngầm mà người dùng không hề hay biết. Apple có cung cấp API để nhà phát triển có thể làm được việc này, điều đó có nghĩa rằng việc này không vi phạm các chính sách phát triển ứng dụng trên iOS. Nhưng sẽ thật nguy hiểm nếu như trong bộ nhớ tạm đó là những thông tin nhạy cảm, mình không hề thích việc thông tin cá nhân bị lấy mà không được thông báo như thế này.

Rõ ràng Apple hiểu quyền riêng tư quan trọng đến như thế nào, tính năng mới này sẽ giúp chúng ta quản lý quyền riêng tư tốt hơn nữa, dù là những thông tin nhỏ nhặt và tạm thời!
/14 người
Tôi chưa bao giờ là fan của Zalo. Nó có quá nhiều lỗ hổng bảo mật. Zalo đòi truy cập quá nhiều thông tin cá nhân trên phone. Tôi không ngạc nhiên về cách Zalo tự copy clipboard này.

Tiktok cũng có một lỗi tương tự và họ đang bị ném đá (có rất nhiều app cũng tự động truy cập clipboard) https://9to5mac.com/2020/06/25/tiktok-to-stop-reading-user-clipboards-after-being-exposed-by-ios-14-privacy-feature/

TikTok to stop reading user clipboards after being exposed by iOS 14 privacy feature - 9to5Mac

Apple has reinforced its commitment to privacy with iOS 14, which includes new features to give users more control over what data each app has access to. One of these features is a new banner alert that lets users know if an app is pasting from...
9to5mac.com
@mobius Chuẩn luôn bác, bao nhiêu clip sex, bao nhiêu group chăn rau của tôi bị xoá cả rồi, tẩy chay đi bác
thấy may vì k dùng zalo, có đồng dâm nào dùng whatsapp k vậy ??
@sagittarius1312 thấy nay họ dùng telegram đó bác
@sagittarius1312 Dùng Whatsapp, Telegram luôn. Khổ cái trong nước Zalo mới nhiều người dùng 😆
@issacnhut What App, Telegram mình thấy nó cũng copy clipboard như vậy mà
Nếu dùng macbook cùng hệ sinh thái thì khi bạn copy trên macbook zalo vẫn có thể lấy được clipboard, trò này hơi bị kinh. Mình đã test. Team zalo ăn cắp kinh thật
@man1606 Mình thấy bạn chưa hiểu vấn đề, paste vào clipboard của zalo đi nữa thì vẫn là của bạn thôi, chứ đã gửi đi
ra ngoài internet đâu. Mình thấy telegram, google translate, gmail, facebook, viber đều như vậy cả, không tin bạn có thể xem thử.
@man1606 Bác có hiểu gì về kĩ thuật không vậy? Vấn đề ở đây là không ai lấy của ai gì cả, chỉ là paste vào clipboard cho tiện thôi, trường hợp mà team zalo gửi cái pasteboard về cho họ thì mới gọi là ăn cắp nhé.
@fl4m1ng0 Đây ko phải lần đầu tiên ngta cảnh báo việc zalo bí mật thu thập tt người dùng.
https://vov.vn/cong-nghe/phan-mem-zalo-nhung-an-hoa-duoc-bao-truoc-602593.vov

Phần mềm Zalo - Những 'ẩn hoạ' được báo trước

Hàng loạt dữ liệu trên thẻ nhớ, bộ nhớ điện thoại của thiết bị sử dụng Windows Mobile, Android sẽ được Zalo truy cập trực tiếp mà không bị hạn chế.
vov.vn
@man1606 Bác hiểu gì về bài viết không vậy? Đang nói về iOS tự nhiên lấy một bài không liên quan ra đánh trống lảng, chưa kể mấy bài nội dung không rõ ràng như vậy thì chứng minh được gì, bác tìm trên mạng đầy bài viết hiểm họa từ Facebook, google đấy thôi.
Hic, m thường ko cho zalo hay viber... truy cập danh bạ hay hình ảnh.
Đù, mật khẩu hay lưu trong note rồi copy paste vào mấy trang web lắm :lol:
@ChauTinhTo ăn lonz rồi 😔 mình hay như vậy
@ChauTinhTo Em cũng vậy luôn bác ơi, toang r
Mạc dù rất ít dùng Zalo 😔(
Em thấy trên android lâu rồi.
Copy sđt là tự động nó lấy đi search, xong suggest kết bạn.
Giờ ko xài thì cũng khó
Ko biết có cách nào quản lý clipboard ko nhỉ?
@Tạ Trọng Cầu Mình thấy thì App nào cũng the
Từ đời nào rồi, zalo đọc clipboard, khi vừa copy số điện thoại thì nó gợi ý bạn bè ngay. Cần gì lên iOS14
@vietbrat Bạn hiểu bài viết đang nói gì không?
@Nam Air Bạn vietbrat nói đúng rồi mod ạ.
Bài viết này là do bạn đó mới phát hiện và phát biểu nội dung theo hướng gây hoang mang người dùng.
Thực tế tính năng này có từ lâu và rất nhiều app cũng sử dụng không riêng gì Zalo, những người làm dev app như mình thường biết rõ điều này. Việc đọc clipboard là để nâng cao UX trải nghiệm người dùng, dự đoán các hành động và đề xuất thao tác dựa trên nội dung dựa trên clipboard.

Nếu bạn biết trên Android thì clipboard còn để các app thứ 3 đọc/thay đổi nội dung được hết mà không cần xin quyền, không cần phải mở app cũng không thông báo gì cả thì chắc bạn lại nổi đóa lên chửi cả Google mất.
@sunnyboy256 từ android 10 việc truy cập clipboard bị chặn rồi bạn. Chỉ app bàn phím hoặc app đang có focus mới được đọc clipboard, từ android 10 google translate cũng ko còn tính năng tap to translate nữa.
83423058_1819537224851990_742667824506263368_o.jpg
@gnafetihw Yeap đúng rồi bạn
@gnafetihw T dùng android 10 đây, vẫn cpy như thường nhé
Translate của google cũng thế nhé.
Và thứ bực nhất là cho nó accesss danh bạ nó sẽ tự add friend trong danh bạ luôn.
@Counters cám ơn bạn
@thanhnhuvt2000 Cái đấy tiện chứ sao, tự add friend trong danh bạ là quá tiện, còn bạn k thíc thì next đi, gỡ app là khỏi ý kiến, dùng hàng free mà cứ như bố đời
@thanhnhuvt2000 Bực hơn nữa là nó xoá hết tất cả group chăn rau với clip sex mà tôi tích trữ bao lâu nay mà không hỏi ý kiến.
@dangkhoa_2808 bạn cũng chăn rau trên zalo hả? mình inbox nhé.
Lazada cũng tự động lấy clipboard luôn, vừa chuyển qua ứng dụng Lazada là nó dán ngay và khoảng 5 giây sau nó lại tiếp tục dán lần nữa. Nếu anh em để ý sẽ thấy Lazada nó còn phát hiện khi mình chụp màn hình nữa nhưng không biết nó có thu thập ảnh chụp màn hình luôn không, anh em cùng nhau phản đối để Apple thay đổi chính sách truy cập clipboard của các ứng dụng thôi.

Mới thấy Chrome cũng có dán nhưng Edge thì không, anh em biết làm gì rồi đó.
@tdloc đúng, apple nên thay đổi chính sách clipboard
Từ 13 đã vậy rồi mà, bác chụp màn hình, save ảnh rồi qua Zalo nó hiển thị gợi ý paste vào luôn
@nguyenhanh028pr đúng rồi nè
@dangkhoa_2808 Gợi ý đăng tus mới đau ấy, lỡ tay bấm đăng hay lỡ chạm không hay là thấy cmnl
zalo điếm vl
Haizzz.....thời buổi công nghệ mà sao k0 thấy an toàn chút nào
Cái này mình đã biết từ trước khi có iOS14. Khi bạn copy số điện thoại, kể cả trên MacOS hay iOS thì chỉ cần mở app Zalo nó sẽ suggest add friends sđt đó trên Zalo luôn mà ko cần phải paste vào khung tìm kiếm.
Phải giữ gìn thôi,
ko khảo lại "đi Mẹc vào việc nhanh lắm" ai cũng biết =))
Nó làm vậy rất lâu rồi. Xài android thấy suốt. Chắc mod không để ý thôi .
Tao vừa chép xuống cái ảnh mười tám cộng xong chuyển qua zalo định báo cáo sếp xin nghỉ ốm thì thấy con nỡm mười tám đang đợi sẵn ở đấy chờ tao chuyển cho sếp. Nhỡ ốm thật mà bấm chuột cái là bỏ mẹ!
@DanielTran hahaa
@DanielTran mấy lúc copy link p o r n xong sếp nt phải qua tl sếp thì link nó đợi sẵn ở đó 😁 hài vãi
@DanielTran haha, bấm chuột cái là tại bác ngu chứ sao lại bỏ mẹ
Vụ này zalo hiện thẳng luôn mà, copy sdt mở zalo nó sẽ hỏi có kết bạn không.
Nó copy để thực hiện tính năng gì đó thì sao nhỉ =)) Kĩ sư iOS gì suy nghĩ chán vậy (Chỉ là cái đó apple cấp API cho lấy thì người ta lấy thôi), xài thử tiktok xem nó nhảy thế nào =))
@mantm là Dev mà chán thế, rõ ràng là API đã được Apple nó cung cấp và chức năng của nó cũng rất bình thường. ví dụ, bạn copy cái link, xong bạn mở Chrome lên rõ ràng nó sẽ suggest cái link đó trên URL. tính năng rất tiện lợi, Zalo mình nghĩ nó cũng sẽ như vậy. khi mở Zalo mà bạn đang copy 1 cái link, thì dễ nhiên khi bạn mở tới khung chat của một ái đó, nó sẽ có cái preview của cái link đó từ clipboard cho bạn xem trước khi gửi cho người kia. chán chủ thớt VL. không lấy ra sao parse mà biết cái link mà suggest/preview cho bạn trước 😁
@mantm Suy nghĩ chán vậy bạn. A nó cũng cấp API cho photo, Camera, bluetooth, location, v.v và mây mây. Vậy thích thì lấy thôi hả. Lên iOS 13, một loạt thằng dùng bluetooth near-by để định vị location lòi ra mặc dù người dùng không cấp phép. Tương tự cho cái clipboard này thôi. Telegram, Whatapps, Viber chẳng thằng nào dính chỉ dính mỗi thằng zalo. Bạn phải hiểu là cái dt giờ nó rất quan trọng vì chứa quá nhiều thông tin. Clipboard đôi lúc chưa thông tin rất quan trọng nên không thể có chuyện nó có quyền lấy thoải mái vậy được
@wegadnie trường hợp này mình thấy bình thường, copy vào clipboard thì sao, nó vẫn là clipboard của người dùng thôi, mình tự lấy của mình thì sao lại gọi là lấy trộm? Khi nào gửi đi đâu thì mới sợ chứ.
@wegadnie Mình ko biết bạn có phải clone hay họ hàng của bác "kỹ sư" kia không! Nhưng mình đang suy nghĩ theo hướng của một người có biết về tech chứ không phải mù hoàn toàn rồi kết luận trắng trợn.

1. Trước mắt nó lấy để nó làm tính năng sờ sờ ra trước mắt và mình thấy nó hữu dụng với mình, chả có vấn đề gì cả. Bác có dám chắc nó sẽ gửi đi không?

2. Bác nhắn tin gọi điện trên cái điện thoại trừ cục gạch ra thì bác có dám chắc nó không lấy của bác không.? Chỉ chắc chắn là sau cuộc gọi đấy thì sẽ có một số ứng dụng gợi ý những thứ liên quan tới cái bác vừa nói, kể cả việc nhắn tin trên cái điện thoại mà không cần tới cái clipboard. Lúc đó bác có sợ lộ thông tin gì không, chính bác đã giao thông tin của bác cho cái bên thứ 3 rồi đó.

3. Cái clipboard chỉ giúp người dùng tốt hơn, nó có thể lấy nhưng chắc gì nó đã dùng khi còn cả tỉ tỉ cách tốt hơn để lấy.
  • Chịu trách nhiệm nội dung: Trần Mạnh Hiệp
  • © 2020 Công ty Cổ phần MXH Tinh Tế
  • Địa chỉ: 209 Đường Nam Kỳ Khởi Nghĩa, Phường 7, Quận 3, TP.HCM
  • Số điện thoại: 02862713156
  • MST: 0313255119
  • Giấy phép thiết lập MXH số 11/GP-BTTTT, Ký ngày: 08/01/2019