MASTG-TEST-0276: 使用 iOS 通用剪贴板

概述

此测试检查应用是否使用系统范围的通用剪贴板，该剪贴板在设备重启和应用卸载后仍然存在，并且所有前台应用以及在某些情况下其他设备都可以访问。 将敏感数据放在此处可能会带来隐私风险。

该测试静态分析代码，以查找通用剪贴板 (UIPasteboard.general) 的使用情况，并检查是否使用以下任何方法写入敏感数据

• addItems
• setItems
• setData
• setValue

步骤

1. 使用 radare2 for iOS运行静态分析扫描，以检测通用剪贴板的使用情况。
2. 使用 radare2 for iOS运行静态分析扫描，以检测可能正在处理敏感数据的剪贴板方法的使用情况。

观察

输出应包含使用相关 API 的位置列表。

评估

如果调用了 UIPasteboard.generalPasteboard 并且将敏感数据写入其中，则测试失败。

由于确定什么是敏感数据取决于上下文，因此很难静态检测。 要检查是否正在使用上述方法将敏感数据写入剪贴板，请检查逆向工程代码中报告的代码位置 (请参阅 审查反汇编的 Objective-C 和 Swift 代码)。