三星One UI系統曝出重大安全漏洞，通過剪貼板功能導致數百萬用戶的敏感信息面臨泄露風險。

剪貼板數據永久存儲

安全研究人員發現，運行Android 9及以上系統的三星設備會將所有剪貼板內容——包括密碼、銀行賬戶詳情和個人消息——以明文形式永久存儲，且沒有自動刪除機制。

剪貼板功能深度集成于三星One UI系統架構中，無論用戶使用何種鍵盤應用，都會完整記錄所有復制內容。即使用戶切換至谷歌Gboard鍵盤（通常會在1小時后刪除剪貼板內容），三星的系統級實現也會覆蓋這一安全特性。

三星社區論壇版主在回應用戶投訴時承認："目前沒有內置設置可以自動刪除剪貼板內容，這確實可能帶來安全風險。"該公司承諾會將反饋轉交開發團隊，但未提供修復時間表。

漏洞技術原理

該技術問題源于三星對Android剪貼板API的實現方式。雖然標準Android通過ClipboardManager接口提供安全機制，但三星One UI繞過了這些保護措施。

谷歌在Android 12中專門引入了ClipDescription.EXTRA_IS_SENSITIVE標志來解決剪貼板安全問題：

然而三星的剪貼板實現忽略了這些安全標志，將所有復制內容保存在持久存儲中。一位用戶在三星社區論壇中表示："這是一個應該優先處理的嚴重安全缺陷。剪貼板歷史記錄永久存儲敏感數據的明文不僅是不便，更是漏洞。"

安全風險與應對建議

安全專家警告，該漏洞創造了多種攻擊途徑。攻擊者只需接觸解鎖狀態的設備，就能輕易查看所有曾復制的密碼。更令人擔憂的是類似StilachiRAT這類專門竊取剪貼板數據以獲取憑證和財務信息的惡意軟件威脅。

在三星發布修復方案前，安全專家建議：

• 復制敏感信息后手動清除剪貼板歷史
• 密碼管理器用戶應使用自動填充功能而非復制粘貼
• 可安裝SwiftKey等第三方鍵盤（雖然系統級存儲仍會保留信息，但這些鍵盤會在一小時后自動清除剪貼板內容）

該漏洞已引發三星設備用戶的強烈擔憂。一位社區成員表示："作為三星忠實用戶，隱私問題將嚴重影響我的購買決策。在當前環境下，隱私保護至關重要。"據悉，該安全問題已存在多年，Reddit、XDA和三星論壇上均有用戶提出擔憂，但始終未獲實質性解決。