黑客吃饱了，潜力无限！诶，，，你可能会问，这算什么隐私问题。关键就是下面要说的，黑客可能已经掌握了你的定位。

由于其方法思路清奇，并具有危害性，所以有必要给大家普及一下。

威胁概述

苹果iPhone或苹果其它设备用户在平常使用APP过程中，一定会碰到一些APP会请求打开定位权限，从而可以获取用户的当前位置用于分析处理，例如地图，外卖等生活类或工作需求的APP（例如前阵子被全国小学生打一星的五岁孩子APP）。

因此，当平常有良好的APP应用使用习惯的用户，便会对各类应用的权限进行设置，防止一些流氓应用获取了用户定位并进行恶意利用。

然而，威胁总是让人防不胜防。。。。。

近日提出了一种不需要获取定位权限，即可获取到用户的当前位置的方法。

方法解析

由于iOS和iPadOS应用程序可以不受限制地访问系统内的通用剪贴板，就好比在微信上面复制淘宝口令，然后打开淘宝应用程序后，读取口令并直接打开指定商品一样。

因此用户只需将内置的“相机”应用拍摄的照片复制到普通剪贴板上，即可不经意间将其精确位置显示给应用。

而由于给相机赋予了位置权限的情况下，图像一般都会嵌入EXIF属性。

（EXIF属性最早应用于苹果机，现在已被很多品牌兼容。）

其中包含GPS坐标，而用户在将此类照片复制到剪贴板上后，所使用的任何应用都可以读取存储在图像属性中的位置信息，并准确推断出用户的精确位置。

这里拿近日拍的照片为例，器材信息、时间、地点都会通过EXIF信息曝光，并且需要注意的是，这张照片的地点标记了经纬度等信息。

开发人员可以使用Image I / O Framework APICGImageSourceCopyProperties读取这些图片中的EXIF属性。

重要的是，整个窃取信息全程用户没有丝毫感知，位置就这样在不经意间泄露了。

目前，所有运行最新版本的iOS和iPadOS（版本13.3）的Apple设备均受影响。

总结来说，要达成攻击，必须完成以下三个步骤：

1、用户给了相机定位权限

2、用相机拍了照片

3、用户将照片复制到剪贴板

方法演示

为了说明该剪贴板漏洞，介绍一个应用程序KlipboardSpy，该应用程序在每次剪贴板进入前台时都会读取剪贴板。如果在剪贴板上检测到带有GPS信息的照片，则该应用程序将存储照片属性。

为了最大程度地访问剪贴板，可以向应用程序添加了iOS widget小部件扩展(会显示在今日试图中)。窗口小部件扩展大大增加了应用程序可以访问剪贴板的概率。

只要每次在今日视图中显示窗口小部件时，应用程序就会捕获剪贴板内容。

iOS系统的今日视图，可以看到该应用在后台运行，并显示一行字。

不同于iPhone的今日试图，iPadOS可以时刻显示在前端，做到时刻读取剪贴板内容。

总结

苹果目前未发觉此“漏洞”存在任何问题，哈哈

就是说该“漏洞”可能会长期存在于iOS和iPadOS系统中。

要知道，这个功能完全是可以合法存在于任何APP应用中，制造APP的厂商可能会隐蔽分析用户的活动位置得出其消费习惯，或是攻击者试图通过用户的活动曲线得到用户每天的出行场所。

当然，为了隐蔽性，对于那些通过关键字监控剪贴板的词汇，从而偷偷进行上传的流氓APP，可以在复制文本或照片，粘贴到其他应用后，及时复制一个无意义的字符串，从而防止在打开其他APP的时候被窃取信息。

最后

安界网提醒用户，还是应该尽可能只安装大厂的APP，而且从正规的应用市场下载，定期清理手机上的应用，删除手机上不必要不常用的APP，减少隐私信息和敏感数据被秘密获取的机会。