黑客吃飽了，潛力無限！誒，，，你可能會問，這算什麼隱私問題。關鍵就是下面要說的，黑客可能已經掌握了你的定位。

由於其方法思路清奇，並具有危害性，所以有必要給大家普及一下。

威脅概述

蘋果iPhone或蘋果其它裝置使用者在平常使用APP過程中，一定會碰到一些APP會請求開啟定位許可權，從而可以獲取使用者的當前位置用於分析處理，例如地圖，外賣等生活類或工作需求的APP（例如前陣子被全國小學生打一星的五歲孩子APP）。

因此，當平常有良好的APP應用使用習慣的使用者，便會對各類應用的許可權進行設定，防止一些流氓應用獲取了使用者定位並進行惡意利用。

然而，威脅總是讓人防不勝防。。。。。

近日提出了一種不需要獲取定位許可權，即可獲取到使用者的當前位置的方法。

方法解析

由於iOS和iPadOS應用程式可以不受限制地訪問系統內的通用剪貼簿，就好比在微信上面複製淘寶口令，然後開啟淘寶應用程式後，讀取口令並直接開啟指定商品一樣。

因此使用者只需將內建的"相機"應用拍攝的照片複製到普通剪貼簿上，即可不經意間將其精確位置顯示給應用。

而由於給相機賦予了位置許可權的情況下，影象一般都會嵌入EXIF屬性。

（EXIF屬性最早應用於蘋果機，現在已被很多品牌相容。）

其中包含GPS座標，而使用者在將此類照片複製到剪貼簿上後，所使用的任何應用都可以讀取儲存在影象屬性中的位置資訊，並準確推斷出使用者的精確位置。

這裡拿近日拍的照片為例，器材資訊、時間、地點都會通過EXIF資訊曝光，並且需要注意的是，這張照片的地點標記了經緯度等資訊。

開發人員可以使用Image I / O Framework APICGImageSourceCopyProperties讀取這些圖片中的EXIF屬性。

重要的是，整個竊取資訊全程使用者沒有絲毫感知，位置就這樣在不經意間洩露了。

目前，所有執行最新版本的iOS和iPadOS（版本13.3）的Apple裝置均受影響。

總結來說，要達成攻擊，必須完成以下三個步驟：

1、使用者給了相機定位許可權

2、用相機拍了照片

3、使用者將照片複製到剪貼簿

方法演示

為了說明該剪貼簿漏洞，介紹一個應用程式KlipboardSpy，該應用程式在每次剪貼簿進入前臺時都會讀取剪貼簿。如果在剪貼簿上檢測到帶有GPS資訊的照片，則該應用程式將儲存照片屬性。

為了最大程度地訪問剪貼簿，可以嚮應用程式添加了iOS widget小部件擴充套件(會顯示在今日試圖中)。視窗小部件擴充套件大大增加了應用程式可以訪問剪貼簿的概率。

只要每次在今日檢視中顯示視窗小部件時，應用程式就會捕獲剪貼簿內容。

iOS系統的今日檢視，可以看到該應用在後臺執行，並顯示一行字。

不同於iPhone的今日試圖，iPadOS可以時刻顯示在前端，做到時刻讀取剪貼簿內容。

總結

蘋果目前未發覺此"漏洞"存在任何問題，哈哈

就是說該"漏洞"可能會長期存在於iOS和iPadOS系統中。

要知道，這個功能完全是可以合法存在於任何APP應用中，製造APP的廠商可能會隱蔽分析使用者的活動位置得出其消費習慣，或是攻擊者試圖通過使用者的活動曲線得到使用者每天的出行場所。

當然，為了隱蔽性，對於那些通過關鍵字監控剪貼簿的詞彙，從而偷偷進行上傳的流氓APP，可以在複製文字或照片，貼上到其他應用後，及時複製一個無意義的字串，從而防止在開啟其他APP的時候被竊取資訊。

最後