|
最近刷到这个笔记应用,体验了一下,发现以下问题:
Anytype 的密钥页面上的按钮是“显示和复制短语”,也就是说按下这个按钮后会显示密钥同时把他复制到剪切板里,这里就存在了一个剪切板泄露的风险。国内的很多 app 都会启动时读取剪切板,最常见的就是拼多多、抖音、淘宝、小红书的口令分享,口令分享的逻辑是当用户启动 app 的时候,读取剪切板中的口令内容,然后把口令字符串解析成一个链接,然后跳转到这个口令链接的详情页。
假设我做了如下操作:先打开 AnyType ,点击“显示和复制短语”,使用完毕后我又依次刷了抖音,浏览了拼多多,刷了淘宝,这时候我的密钥已经存在这三家 app 的服务器上了。AnyType 主打的隐私,用户拥有唯一密钥,此时密钥都泄露了,很多地方都存了用户的密钥,也就不安全了。
经常使用此应用的朋友可以给官方反馈一下,显示密钥和复制密钥功能分开,而且手动复制密钥后也要及时清理剪切板内容,保证密钥安全。
| 
