30秒快讀

1、蘋果iOS14正式版還未發(fā)布，便讓國內(nèi)外App開發(fā)者們都不淡定了，主要是因?yàn)閕OS 14新增了安全提醒功能。一旦App讀取剪貼板，iPhone上部就會出現(xiàn)一條通知：“A應(yīng)用復(fù)制自B應(yīng)用”。蘋果這一更新是為了讓用戶知道哪些App可能在跟蹤自己的信息。

2、那么，剪貼板會泄露個人信息到什么程度？什么情況下是最微信的？《IT時報(bào)》記者為此測試了50款A(yù)pp的蘋果版和安卓版，結(jié)果出乎意料。

你的電話、收件地址發(fā)我一下。

你的視頻會員賬號和密碼能借我用一下嗎？

錢打到哪張卡上，開卡行和身份證號也同步發(fā)我一下。

交流完這些隱私信息后，往往伴隨著復(fù)制粘貼這個動作。你有沒有計(jì)算過，每天會在手機(jī)上做多少次復(fù)制粘貼？不曾想，這個習(xí)以為常的動作可能會悄悄泄露我們的隱私。

蘋果iOS 14已在國外掀起隱私保護(hù)的風(fēng)波。

據(jù)外媒報(bào)道，有用戶升級到iOS 14后，系統(tǒng)不斷提示字節(jié)跳動旗下短視頻應(yīng)用TikTok在獲取剪貼板。同時，谷歌chrome瀏覽器、新聞應(yīng)用CNN、Google News和星巴克都被網(wǎng)友在使用iOS 14時發(fā)現(xiàn)，會對用戶的剪貼板進(jìn)行讀取。

對此，TikTok相關(guān)負(fù)責(zé)人表示，已向App Store提交更新版本，下線該功能以消除混淆。訪問剪貼板是為了打擊部分用戶重復(fù)刷無意義的垃圾評論、惡意刷評論等現(xiàn)象。他也強(qiáng)調(diào)，此功能不會訪問用戶剪貼板的任何內(nèi)容。

那么，國內(nèi)主流App在蘋果的新系統(tǒng)下是否也會無處遁形？

01

測試50款主流App

只有9個未主動讀取剪貼板

升級為iOS14測試版后，《IT時報(bào)》記者測試了50款主流App，覆蓋電商、社交、視頻、音樂、金融、生活、出行等領(lǐng)域，結(jié)果顯示只有9款A(yù)pp沒有觸發(fā)復(fù)制剪貼板的提醒，分別是微信、國美、亞馬遜中國、知乎、同花順、美團(tuán)外賣、叮咚買菜、攜程和滴滴出行。

制圖：IT時報(bào) 馮誠杰

也就是說，當(dāng)你在iPhone的任意一個App里做復(fù)制粘貼這個動作后，打開其他41款A(yù)pp時，都有可能被它們在第一時間讀取，但用戶不知情。

令人細(xì)思極恐的是，在iOS14版本之前，用戶對于這一行為是無感知的，蘋果也是默許該行為的。

那么，蘋果會自動識別敏感信息，并幫助用戶攔截嗎？

《IT時報(bào)》記者在iPhone自帶備忘錄里一次性復(fù)制一條關(guān)聯(lián)信息，包含姓名、電話、家庭住址和身份證號等敏感信息，并在備忘錄里完成了粘貼的動作。但當(dāng)記者一一打開這50款A(yù)pp時，仍舊會出現(xiàn)“某某App復(fù)制自備忘錄”的安全提示，多次測試后發(fā)現(xiàn)，結(jié)果跟上述測試一樣，82%的App都會讀取剪貼板。

“蘋果在iOS 14之前都沒有對剪貼板內(nèi)容進(jìn)行安全提示和過濾，iOS 14正式版發(fā)布前還不清楚是否會過濾。” 一家企業(yè)安全服務(wù)商指出，“只要是用戶復(fù)制粘貼的信息，App幾乎都可以讀取，比如文本、圖片、文件基本信息等。”

對App來說，剪切板是一個很好的工具，比如淘寶和抖音的鏈接被微信拒之門外后，他們就利用口令、二維碼等形式來實(shí)現(xiàn)跳轉(zhuǎn)。抖音和淘寶都會先識別，,有自家的特殊標(biāo)識的會上傳云端匹配相關(guān)視頻或商品，返回結(jié)果給用戶。如果沒有對應(yīng)結(jié)果，用戶就感知不到這一行為。

02

二次粘貼才是最大的風(fēng)險

“二次粘貼才是最大的風(fēng)險。”民間互聯(lián)網(wǎng)安全組織網(wǎng)絡(luò)尖刀創(chuàng)始人曲子龍指出，剪貼板最大的潛在風(fēng)險不是第一次復(fù)制粘貼，在日常生活中，第一次復(fù)制粘貼的內(nèi)容大部分都是為方便用戶提供信息給App的，真正的風(fēng)險是用戶復(fù)制了內(nèi)容粘貼到A應(yīng)用之后，復(fù)制的內(nèi)容并沒有被回收，打開B應(yīng)用時該內(nèi)容仍然可以被獲取到，從而造成敏感信息的泄漏風(fēng)險。

值得一提的是，上述幾次測試結(jié)果都是在二次粘貼的測試環(huán)境下得出，《IT時報(bào)》記者先在備忘錄這個App中完成復(fù)制和粘貼兩個動作，再打開50個App查看是否有安全提醒。

同時，《IT時報(bào)》記者做多次粘貼測試發(fā)現(xiàn)，在運(yùn)行iOS 14測試版的iPhone上，基本上，跨App粘貼20次后，該復(fù)制內(nèi)容會失效，無法再粘貼。但每次次數(shù)略有差別，以此推斷可能跟時間相關(guān)，每隔一段時間，iPhone會清空一次剪貼板。

在敏感信息回收這點(diǎn)上銀行系A(chǔ)pp做得較好，當(dāng)復(fù)制粘貼銀行卡賬號后，再登錄銀行類App，多家銀行都會出現(xiàn)一條提示：“您是否需要向銀行卡（賬號）轉(zhuǎn)賬”，包括工商銀行、招商銀行、郵儲銀行、浦發(fā)銀行、上海銀行等都有此功能。

所幸的是，你在一家銀行完成取消或轉(zhuǎn)賬這個動作后，再登錄其他銀行App就不會再出現(xiàn)這條提示。

03

小米對標(biāo)iOS 14

照一照面具下的安卓應(yīng)用

小米MIUI 12系統(tǒng)升級了隱私保護(hù)功能，這個功能比iOS 14的提醒更到位，被手機(jī)圈認(rèn)為是流氓軟件的克星。

只要App調(diào)取用戶個人信息，小米這一功能便會提醒，同時返回一個“空白通行證”，一定程度上解決了“不給權(quán)限不讓用”的問題。

[[332041]]

于是，《IT時報(bào)》記者利用小米隱私功能測試了上述50款A(yù)pp的安卓版，也只有11個App是不主動讀取剪貼板的，分別是微信、國美、亞馬遜中國、知乎、微眾銀行、餓了么、美團(tuán)外賣、叮咚買菜、58到家、攜程和滴滴出行。

不主動讀取的安卓應(yīng)用比蘋果應(yīng)用還略多一些并不能說明安卓比蘋果更安全，因?yàn)閺淖x取次數(shù)來看十分觸目驚心，有部分安卓應(yīng)用甚至在兩分鐘內(nèi)讀取了20次剪貼板。

從蘋果和安卓的對比測試可以看出，在國內(nèi)，讀取用戶剪貼板是一個非常普遍的行為。

“要看有沒有實(shí)際侵權(quán)，還要看App讀取剪貼板后會不會上傳并留存用戶個人信息。”曲子龍說道。這就相當(dāng)于構(gòu)成個人信息收集行為了。

那么如何界定是否侵權(quán)？根據(jù)《App違法違規(guī)收集使用個人信息行為認(rèn)定方法》第三條第1點(diǎn)，征得用戶同意以前就開始收集個人信息，可認(rèn)定為“未經(jīng)用戶同意收集使用個人信息”；第四條第1和第3點(diǎn)指出，收集的個人信息類型與現(xiàn)有業(yè)務(wù)功能無關(guān)，收集個人信息的頻度等超出業(yè)務(wù)功能實(shí)際需要，可認(rèn)定為“違反必要原則”。

蘋果系統(tǒng)的剪貼板一直被認(rèn)為比安卓系統(tǒng)更安全。因?yàn)樵趇Phone上，當(dāng)你復(fù)制一條新內(nèi)容后，會直接覆蓋之前復(fù)制的內(nèi)容。然而，安卓手機(jī)會保留更多內(nèi)容在剪貼板上，所以你常?？梢栽谳斎敕ǖ鹊胤讲榭醇糍N板歷史記錄。

近來，安卓手機(jī)廠商也開始意識到剪貼板的信息安全問題，多家安卓手機(jī)廠商都推出了幾秒清空剪貼板的功能。

由此可以看到，國內(nèi)手機(jī)廠商已經(jīng)在帶頭凈化應(yīng)用過度索取信息的問題生態(tài)，蘋果此次更新之用意，也不單單只是提醒用戶，誰在跟蹤我，也在警告開發(fā)者。

除了要注意國內(nèi)漸趨嚴(yán)格的個人信息收集與使用法規(guī)外，中國應(yīng)用出海也需要重視用戶隱私保護(hù)問題。繼歐盟在2018年出臺史上最嚴(yán)的隱私法規(guī)《通用數(shù)據(jù)保護(hù)條例》（GDPR）后，今年美國也出臺了甚嚴(yán)的《加利福尼亞州消費(fèi)者隱私法案》（CCPA）。

今年2月，兩位國外iOS開發(fā)者發(fā)出警告，由于蘋果和安卓手機(jī)中的一個漏洞，數(shù)十款主流App經(jīng)常訪問剪貼板內(nèi)容，盡管此舉沒有太大危害，但可能會被黑客利用。

那么，剪貼板在什么情況下容易造成信息泄露，并存在被黑客或流氓App濫用的危險？

多位白帽子和安全專家向《IT時報(bào)》記者指出，在蘋果手機(jī)上一次性復(fù)制粘貼賬戶+密碼、姓名+身份證號+家庭住址+電話等關(guān)聯(lián)組合信息時，或者在安卓手機(jī)上一次性復(fù)制或連續(xù)復(fù)制組成關(guān)聯(lián)信息，對于在“偷看”的App來說是有價值的。

如果只是一個密碼，那么App得到的也只是一串無意義的字符串，加之手機(jī)不越獄，App是通過官方渠道安裝的，就不必過多擔(dān)心。