注意复制和粘贴

详细描述

iOS和Android都支持复制/粘贴。 敏感数据可以以明文形式存储，恢复或者可以从剪贴板修改，而不管数据的源是否最初被加密。 如果在用户复制它时它是纯文本，当其他应用程序访问剪贴板时，它将是明文。

例如，它遵循严格的规则，这意味着应用程序不能读取或写入剪贴板，并且使用它的唯一方式是通过用户交互，做长按来弹出剪贴板菜单。

建议

在适当情况下，禁用用于处理敏感数据的区域的复制/粘贴。 取消复制选项有助于避免数据暴露。 在Android上，剪贴板可以由任何应用程序访问，因此建议使用经过适当配置的内容提供程序来传输复杂的敏感数据。 在iOS上，考虑用户是否需要在应用程序或系统范围内复制/粘贴数据，并选择适当类型的粘贴板。

此外，值得注意的是在取得内容后清除剪贴板，以避免其他应用程序读取它们并泄漏用户正在做什么。

CWE/OWASP

• M4 - Unintended Data Leakage
• CWE 200