V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
xjbeta
V2EX  ›  macOS

[⚠️提示] BetterAndBetter 将隐私数据明文保存在 plist 内

  •  
  •   xjbeta · 2020-02-02 15:09:13 +08:00 · 8377 次点击
    这是一个创建于 1755 天前的主题,其中的信息可能已经有所发展或是发生改变。

    在 plist 内明文保存的隐私数据

    • 最近的 50 条粘贴板历史(包括图片)
    • 用于“蓝牙解锁”功能的系统密码 (钥匙串????)

    什么软件可以读取这些资料

    • 所有沙盒外应用
    • 任意授予了 ~/Libraray/Preferences 目录权限的沙盒应用

    受影响的版本 1.6.78 及以下

    个人建议

    • 未修复前卸载 BAB
    • 确保删除了 ~/Library/Preferences/com.sunny.BetterAndBetter.plist 这个文件
    • 填写过密码的 修改相关密码

    1.jpg

    2.jpg

    第 1 条附言  ·  2020-02-03 14:58:09 +08:00
    这个问题 已经有人反馈过了 但是 BAB 的开发者不以为意
    所以单独开帖提醒一下大家

    读取粘贴板是需要 Accessibility (无障碍) 权限的
    他这样明文存储就是单独开了个能用的"接口" 让其他所有应用绕过该权限读取粘贴板

    当然问题更大的是明文存储的 ###系统密码
    第 2 条附言  ·  2020-04-25 08:24:49 +08:00
    纠正下 macOS 读取粘贴板不用额外获取任何权限
    19 条回复    2020-12-13 23:32:35 +08:00
    AllenHua
        1
    AllenHua  
       2020-02-02 15:20:04 +08:00 via iPhone
    感谢提醒
    starrystarry
        2
    starrystarry  
       2020-02-02 19:47:04 +08:00
    ji
    ⚠️即使关闭「键盘模块」依然能够读取剪切板数据⚠️
    ⚠️建议将全部应用列入黑名单,或者卸载⚠️
    ihwbunny
        3
    ihwbunny  
       2020-02-03 01:55:10 +08:00   ❤️ 1
    楼主,是个细心的人,很棒!

    本人只是从另一方面进行探讨。个人认为,像安全漏洞,首先跟开发者联系,并尽量少滴向公众讲述详细技术内容,会比较好。就如同每次 macOS 更新都会修正各种安全漏洞,而这些漏洞很多都是被第三方发现,并与 Apple 联系确认的,同时他们并没有广泛地向公众公布,而是让 Apple 有时间修正。如同 Intel 芯片的漏洞,涉及所有 Intel CPU 的机器,但是公众只是了解这个威胁,并无法利用公众信息来利用该漏洞。一般来说,个人认为,仅将适合特定人群的信息透露给该特定人群,有其朴实的一面,也会被诟病。

    就本例来说,希望开发者能尽快推出新版,修复此重大漏洞。
    starrystarry
        4
    starrystarry  
       2020-02-03 08:54:27 +08:00   ❤️ 3
    @ihwbunny #3 开发者对此完全不在意,甚至还有群友冷嘲热讽(开发者默许
    ihwbunny
        5
    ihwbunny  
       2020-02-03 10:56:47 +08:00
    @starrystarry 我觉得是你们彼此之间会错意了,是防止信息泄漏或被他人 /其它软件偷取,而不是软件作者以及 BaB 软件自己偷信息。当然,要是能防止所有人窃取,那是最好得了,但那只存在于纸面。
    starrystarry
        6
    starrystarry  
       2020-02-03 11:05:25 +08:00
    @ihwbunny #5 开发者沉浸在 2.0 版本的美好构思里,还在不断挖新坑,完全听不进别人的劝告。
    ihwbunny
        7
    ihwbunny  
       2020-02-03 11:22:35 +08:00
    @starrystarry 这个开发者是忽略了用户需求,问题就大点了。还是,能和他在详细沟通下,比如说,旧版他可能不想考虑更新了,为了对用户负责,最好是在网站贴出 bug 记录,一是对用户负责,也是撇清自己的责任嘛。
    但还是愿国产软件能有长远的发展。
    zealson
        8
    zealson  
       2020-02-03 22:23:13 +08:00
    首先我也是一名忠实的 BAB 用户,关于这个问题,我好早就跟开发者提过,不过至今都没有什么实质性的优化,今天因为此帖再次跟 BAB 开发者沟通得知:
    1. BAB 2.0 会完全重构开发,历时小半年,而且作者是一位大龄的独立开发者,目前主要精力用在分拆 BAB 很多功能做成独立 app 上架到 MAS,之后就会投入到 BAB 2.0 的开发中去,所以这个关于“剪贴板”的优化很可能没有更多精力去完成了;
    2. 作者给到两个关于剪贴板“问题”的暂行解决方案,供大家参考:
    2.1 将 ~/Library/Preferences/com.sunny.BetterAndBetter.plist 下的 TotalofHistroyPaste 的值修改为 0,即表示剪贴板记录条数为 0,不做任何剪贴板记录,查看 plist 文件也看不到任何明文内容;
    2.2 将常用的 App 加入到剪贴板的黑名单,即对加入黑名单的 App 不再做剪贴板记录。

    最后我会依然使用 BAB,因为离不开 TA 的触控板手势和鼠标手势,因为它是一款非常强大还免费的国产 App。最后让我们继续期待下 BAB 2.0 的早日到来吧~
    zealson
        9
    zealson  
       2020-02-03 22:27:19 +08:00
    忘了说在操作那 2 个暂行解决方案前,记得先打开 BAB 的“剪贴板”并右键选择“全部删除”来清空目前所有记录过的剪贴板内容
    dot2017
        10
    dot2017  
       2020-02-05 11:47:08 +08:00
    密码这种稍微 base64 编码下也比明文强不少吧?难不成这种小动作也需要重构来解决?
    excitedXXX
        11
    excitedXXX  
       2020-05-30 17:34:34 +08:00
    之前在他们的反馈群里,V 友吐槽他们家弹窗的坏毛病后就被 QQ 群里的的开发者和用户一顿臭骂.劣性的很,说什么免费的还想怎么样,以后要考虑收费使用了,当时就退群了,但是弹窗对我而言问题不大,就没在意.这次这个问题就真的很恶心了,果断卸载全家桶.丢个链接 https://www.better365.cn/小心他们家的全家桶.没见过这么自大的开发者.呵呵
    better365
        12
    better365  
       2020-06-27 10:17:24 +08:00
    感谢楼主以专业的角度指出 BAB1.0 中的漏洞,BAB1.0 从 2015 年开始学习 macOS 编程编写,当时技术水准还很弱,处于学习阶段,在 BAB1.0 中做了很多尝试性功能,因为架构散乱,各模块配合问题,BAB 1.0 已经完全升级不动了,对于你发现的漏洞,我们只能以全新的 BAB2.0 代替。

    BAB 2.0 在 2020 年 2 月开始设计、开发,目前 BAB 2.0 内测版已经开发出来了,对 1.0 里你指出的漏洞进行了修复,欢迎楼主体验,进行指导,BAB2.0 内测 QQ 群:1030974631 在群内可获得最新的内测版本。

    另外,希望如果有问题,直接在我们社区记录,www.better365.club,我们会一一查看并进行回复,开发人员在 QQ 群里,不建议直接找开发人员聊天反馈问题,如果你找他聊的话,最多只是敷衍几句,基本上不会有太多答案,因为开发不是直接对用户的,这个我想 V2X 里做开发的都懂。
    meisen
        13
    meisen  
       2020-07-05 03:21:01 +08:00   ❤️ 1
    @better365 承认涉嫌隐私有那么难吗,还漏洞?也请你别在我曝光你们另一款软件帖子下解释!你这种开发者直接拉黑!
    better365
        14
    better365  
       2020-07-20 00:57:31 +08:00
    @meisen 蓝牙解锁这个功能本来就是需要密码,我们再 App 内做了用户输入密码的地方,是用户知道的情况下输入进去的,只是当时技术考虑不周,把这个密码搞成明文了。也请你不要恶意带节奏,什么叫做涉嫌隐私?说的一愣一愣的。另外曝光我们什么了,可以把话说明白,少在这稀里糊涂的戳事。
    better365
        15
    better365  
       2020-07-20 01:01:11 +08:00
    今天,Better And Better 2.0 公测版发布了,在这里邀请大家体验,可以进行测试。新版本的 Better And Better 采用全新架构,之前说的解锁密码明文问题也被修复。当然这个 Better And Better 没有蓝牙解锁这个功能了,也就不存在解锁密码了。总之,欢迎大家体验,检测,如有问题可以在我们 Q 群反馈,QQ 群 2163696885 Better And Better 2.0 下载地址: https://www.better365.cn/bab2.html
    better365
        16
    better365  
       2020-07-20 01:04:41 +08:00
    @starrystarry 开发者确实沉浸在 2.0 的美好构思里,在你冷嘲热讽 167 天后,推出了全新构架的 2.0,并发在此贴中欢迎公测
    Roykira
        17
    Roykira  
       2020-07-27 13:48:07 +08:00
    你想用输入法切换对吧,这个看上去和其他软件没有重叠的部分,那我就 2000 次给你一次弹窗呢
    你想用超级右键对吧,不好意思,你如果想要关闭右键截图的功能,请下载 iShot 呢
    哎呀,我们的软件都是经过了 App Store 的验证呢,都上架在 AS 了,不会害你的呢
    你想超级邮件不要每一次都手动授权吗?那来用我们的 BetterAndBetter 吧,但是这个软件没有上架 App Store 啊。
    开发者:你过点脑子好不好,不要人云亦云。(开发者原话,评论用户对输入法切换弹窗的质问)
    corningsun
        18
    corningsun  
       2020-11-26 09:54:07 +08:00
    你想超级邮件不要每一次都手动授权吗?那来用我们的 BetterAndBetter 吧,但是这个软件没有上架 App Store 啊。
    +1

    被超级右键的视频安利过来的。结果发现没那么简单,还是 360,腾讯全家桶那一套,体验的真的糟糕。

    卸载 BetterAndBetter 也很折腾,一直后台运行,杀不掉。需要 `sudo rm -rf ~/Applications/BetterAndBetter.app`
    starrystarry
        19
    starrystarry  
       2020-12-13 23:32:35 +08:00
    @better365 #16 好嘛! 2.0 现在还没旧版 60% 的功能,然后直接把 1.0 禁了?真是活久 jian
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2920 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 03:10 · PVG 11:10 · LAX 19:10 · JFK 22:10
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.