三星One UI安全漏洞：剪贴板数据明文存储且永不过期

三星One UI系统曝出重大安全漏洞，安全通过剪贴板功能导致数百万用户的漏洞敏感信息面临泄露风险
 。

剪贴板数据永久存储

安全研究人员发现，剪贴据明运行Android 9及以上系统的板数三星设备会将所有剪贴板内容——包括密码、银行账户详情和个人消息——以明文形式永久存储，文存且没有自动删除机制 。过期

剪贴板功能深度集成于三星One UI系统架构中，安全无论用户使用何种键盘应用 ，服务器租用漏洞都会完整记录所有复制内容 。剪贴据明即使用户切换至谷歌Gboard键盘（通常会在1小时后删除剪贴板内容），板数三星的文存系统级实现也会覆盖这一安全特性
。

三星社区论坛版主在回应用户投诉时承认  ："目前没有内置设置可以自动删除剪贴板内容，过期这确实可能带来安全风险 。安全"该公司承诺会将反馈转交开发团队 ，漏洞但未提供修复时间表。剪贴据明

漏洞技术原理

该技术问题源于三星对Android剪贴板API的香港云服务器实现方式。虽然标准Android通过ClipboardManager接口提供安全机制，但三星One UI绕过了这些保护措施。

谷歌在Android 12中专门引入了ClipDescription.EXTRA_IS_SENSITIVE标志来解决剪贴板安全问题 ：

然而三星的剪贴板实现忽略了这些安全标志
，将所有复制内容保存在持久存储中。一位用户在三星社区论坛中表示 ："这是一个应该优先处理的严重安全缺陷
。模板下载剪贴板历史记录永久存储敏感数据的明文不仅是不便 ，更是漏洞。"

安全风险与应对建议

安全专家警告，该漏洞创造了多种攻击途径 。攻击者只需接触解锁状态的设备，云计算就能轻易查看所有曾复制的密码。更令人担忧的是类似StilachiRAT这类专门窃取剪贴板数据以获取凭证和财务信息的恶意软件威胁
。

在三星发布修复方案前，安全专家建议：

复制敏感信息后手动清除剪贴板历史密码管理器用户应使用自动填充功能而非复制粘贴可安装SwiftKey等第三方键盘（虽然系统级存储仍会保留信息 ，但这些键盘会在一小时后自动清除剪贴板内容）

该漏洞已引发三星设备用户的免费模板强烈担忧。一位社区成员表示："作为三星忠实用户 ，隐私问题将严重影响我的购买决策 。在当前环境下，隐私保护至关重要 。"据悉，该安全问题已存在多年，Reddit、亿华云XDA和三星论坛上均有用户提出担忧
，但始终未获实质性解决
。