使用抖音App的資安疑慮 ：用戶會在不知情的狀況下，被讀取手機內容？

議題背景

新聞指出，透過剪貼簿（universal clipboard）的功能，Mac或iPad上複製或剪下的文字或內容，都可以用iPhone讀取，而抖音（TikTok）這個短影音平台App，可以在使用者不知情的狀況下，讀取iPhone剪貼簿內容，包含複製的密碼、信用卡資訊、文字等。

最新的消息是印度已宣布禁止使用抖音，印度的安卓和蘋果商店已移除抖音App，無法下載使用。

相關新聞與討論：

• 蘋果日報：【TikTok侵私隱】「抖音」海外版被發現可讀取用戶剪貼簿資料
• 聯合報：不只TikTok抖音！iOS 14揭露多款App都會偷看iPhone剪貼簿

究竟大眾該如何看待使用抖音App的資訊安全？我們邀請專家回應如下。

徐瑞壕（國立中山大學資訊工程學系助理教授）
2020年7月3日

目前報導出抖音App的問題在於，它會在使用者不知情的狀況下，存取剪貼簿的內容，可能包含機密的資料，例如帳號密碼、信用卡資訊等。

如果一個App的文書編輯功能，通常會需要存取剪貼簿所儲存的資訊，然而這樣的操作通常不會大量頻繁地重複進行存取的動作。而以抖音的App型態，也看不出其有任何理由，需要多次存取剪貼簿的資料。

其實不只抖音App，其他App也會在沒有經過使用者同意下，擁有存取手機內其他資料的權限，我們稱這種App為「流氓軟體」。早期的手機作業系統沒有特別防範這個問題，系統是Android 9以下的手機，就無法讓使用者直接設定軟體存取手機內資料的權限。但Android 10以上的手機，已經禁止任何軟體存取剪貼簿的文字。

雖然抖音App聲稱已經更新軟體，可能解決了舊的問題，但若下一個版本有新的問題，一般使用者無法檢查，也很難得知。

目前要確保使用影音相關App時的資訊安全，經濟部工業局有一個「行動應用App基本資安檢測基準」，是根據廠商提供的文件，來檢測一個App會讀取哪些資料或檔案。

但是一般使用者在使用App時，難以分辨一個App到底需要哪些權限、不需要哪些權限，手機通知使用者App要求獲得權限時，使用者也難以判斷是否要答應授權。所以建議培養大眾的基本資安防護概念，保護個人資料的效益，可能勝過於教大眾使用專業資安技術。

例如最簡單的方式是避免使用有資安疑慮的App，還有具高度機密的個人資訊（例如網路銀行密碼）盡量避免用剪貼的方式輸入，而改用手動輸入，也可直接避免剪貼簿資料外洩的風險。

本文經新興科技媒體中心授權刊登，原文刊載於此

責任編輯：朱家儀
核稿編輯：翁世航