什么是剪贴板劫持?
剪贴板劫持发生在恶意应用监控你的剪贴板并替换敏感内容时——例如在粘贴时将加密货币钱包地址替换为攻击者的地址。其他形式的剪贴板滥用包括应用在不知情的情况下读取你的剪贴板以收集密码、令牌或个人数据。
macOS 剪贴板安全模型
macOS 要求应用请求辅助功能权限才能持续监控剪贴板内容。但任何应用都可以在你粘贴时读取当前剪贴板项目。了解这一边界有助于你就信任哪些应用访问剪贴板做出明智的决定。
使用可信的剪贴板管理器
像 TextStow 这样的剪贴板管理器是你有意安装来管理剪贴板的可信应用。与可能静默读取剪贴板内容的随机应用不同,TextStow 透明地说明它存储什么、存储在哪里以及如何保护你的数据——全部在 Mac 本地。
本地存储减少暴露面
基于云的剪贴板管理器扩大你的暴露面:剪贴板内容离开你的 Mac,经过网络传输,并存储在远程服务器上。像 TextStow 这样的本地优先剪贴板管理器将内容保留在设备上——消除了网络拦截和服务器 breaches 攻击向量。
在敏感操作期间暂停记录
在复制加密货币地址、密码或身份验证令牌时,考虑暂停剪贴板历史记录。这可以防止敏感内容完全存储在剪贴板历史中——即使在你自己的机器上也减少暴露窗口。
剪贴板安全最佳实践
从可信开发者安装剪贴板工具。定期审查应用权限。保持 macOS 更新以受益于安全改进。使用不云同步的本地优先剪贴板管理器。注意任何应用在粘贴操作期间都可以读取当前剪贴板项目。
常见问题
什么是 Mac 上的剪贴板劫持?▾
剪贴板劫持发生在恶意应用读取或替换你的剪贴板内容时——例如在复制粘贴期间交换加密货币地址。
如何防范剪贴板劫持?▾
使用可信的剪贴板管理器、审查应用权限、保持 macOS 更新,并注意哪些应用拥有辅助功能权限。
TextStow 能防范剪贴板劫持吗?▾
TextStow 是一个本地存储数据的可信剪贴板管理器。虽然它不能阻止其他应用在粘贴期间读取剪贴板,但它通过不云同步来减少暴露。
应用能否在 Mac 上未经许可读取我的剪贴板?▾
任何应用都可以在你粘贴时读取当前剪贴板项目。持续的剪贴板监控在现代 macOS 中需要辅助功能权限。
对于敏感内容是否应该暂停剪贴板记录?▾
是的。在复制密码、加密地址或令牌时,暂停剪贴板记录可以防止敏感内容存储在历史记录中。
云剪贴板同步是安全风险吗?▾
云剪贴板同步扩大暴露面:内容离开你的 Mac,经过网络传输,并存储在远程服务器上。本地优先剪贴板管理器消除了这些攻击向量。