V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
yoyoyoyolol
V2EX  ›  分享发现

AnyType 的密钥存在可能泄露的安全隐患

  •  
  •   yoyoyoyolol · 32 天前 · 881 次点击
    这是一个创建于 32 天前的主题,其中的信息可能已经有所发展或是发生改变。

    最近刷到这个笔记应用,体验了一下,发现以下问题:

    Anytype 的密钥页面上的按钮是“显示和复制短语”,也就是说按下这个按钮后会显示密钥同时把他复制到剪切板里,这里就存在了一个剪切板泄露的风险。国内的很多 app 都会启动时读取剪切板,最常见的就是拼多多、抖音、淘宝、小红书的口令分享,口令分享的逻辑是当用户启动 app 的时候,读取剪切板中的口令内容,然后把口令字符串解析成一个链接,然后跳转到这个口令链接的详情页。
    
    假设我做了如下操作:先打开 AnyType ,点击“显示和复制短语”,使用完毕后我又依次刷了抖音,浏览了拼多多,刷了淘宝,这时候我的密钥已经存在这三家 app 的服务器上了。AnyType 主打的隐私,用户拥有唯一密钥,此时密钥都泄露了,很多地方都存了用户的密钥,也就不安全了。
    
    经常使用此应用的朋友可以给官方反馈一下,显示密钥和复制密钥功能分开,而且手动复制密钥后也要及时清理剪切板内容,保证密钥安全。
    
    目前尚无回复
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   4312 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 20ms · UTC 05:33 · PVG 13:33 · LAX 21:33 · JFK 00:33
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.