30秒快讀

1、蘋果iOS14正式版還未發(fā)布，便讓國內(nèi)外App開發(fā)者們都不淡定了，主要是因?yàn)閕OS 14新增了安全提醒功能。一旦App讀取剪貼板，iPhone上部就會(huì)出現(xiàn)一條通知：“A應(yīng)用復(fù)制自B應(yīng)用”。蘋果這一更新是為了讓用戶知道哪些App可能在跟蹤自己的信息。

2、那么，剪貼板會(huì)泄露個(gè)人信息到什么程度？什么情況下是最微信的？《IT時(shí)報(bào)》記者為此測(cè)試了50款A(yù)pp的蘋果版和安卓版，結(jié)果出乎意料。

你的電話、收件地址發(fā)我一下。

你的視頻會(huì)員賬號(hào)和密碼能借我用一下嗎？

錢打到哪張卡上，開卡行和身份證號(hào)也同步發(fā)我一下。

交流完這些隱私信息后，往往伴隨著復(fù)制粘貼這個(gè)動(dòng)作。你有沒有計(jì)算過，每天會(huì)在手機(jī)上做多少次復(fù)制粘貼？不曾想，這個(gè)習(xí)以為常的動(dòng)作可能會(huì)悄悄泄露我們的隱私。

蘋果iOS 14已在國外掀起隱私保護(hù)的風(fēng)波。

據(jù)外媒報(bào)道，有用戶升級(jí)到iOS 14后，系統(tǒng)不斷提示字節(jié)跳動(dòng)旗下短視頻應(yīng)用TikTok在獲取剪貼板。同時(shí)，谷歌chrome瀏覽器、新聞應(yīng)用CNN、Google News和星巴克都被網(wǎng)友在使用iOS 14時(shí)發(fā)現(xiàn)，會(huì)對(duì)用戶的剪貼板進(jìn)行讀取。

對(duì)此，TikTok相關(guān)負(fù)責(zé)人表示，已向App Store提交更新版本，下線該功能以消除混淆。訪問剪貼板是為了打擊部分用戶重復(fù)刷無意義的垃圾評(píng)論、惡意刷評(píng)論等現(xiàn)象。他也強(qiáng)調(diào)，此功能不會(huì)訪問用戶剪貼板的任何內(nèi)容。

那么，國內(nèi)主流App在蘋果的新系統(tǒng)下是否也會(huì)無處遁形？

01

測(cè)試50款主流App

只有9個(gè)未主動(dòng)讀取剪貼板

升級(jí)為iOS14測(cè)試版后，《IT時(shí)報(bào)》記者測(cè)試了50款主流App，覆蓋電商、社交、視頻、音樂、金融、生活、出行等領(lǐng)域，結(jié)果顯示只有9款A(yù)pp沒有觸發(fā)復(fù)制剪貼板的提醒，分別是微信、國美、亞馬遜中國、知乎、同花順、美團(tuán)外賣、叮咚買菜、攜程和滴滴出行。

制圖：IT時(shí)報(bào) 馮誠杰

也就是說，當(dāng)你在iPhone的任意一個(gè)App里做復(fù)制粘貼這個(gè)動(dòng)作后，打開其他41款A(yù)pp時(shí)，都有可能被它們?cè)诘谝粫r(shí)間讀取，但用戶不知情。

令人細(xì)思極恐的是，在iOS14版本之前，用戶對(duì)于這一行為是無感知的，蘋果也是默許該行為的。

那么，蘋果會(huì)自動(dòng)識(shí)別敏感信息，并幫助用戶攔截嗎？

《IT時(shí)報(bào)》記者在iPhone自帶備忘錄里一次性復(fù)制一條關(guān)聯(lián)信息，包含姓名、電話、家庭住址和身份證號(hào)等敏感信息，并在備忘錄里完成了粘貼的動(dòng)作。但當(dāng)記者一一打開這50款A(yù)pp時(shí)，仍舊會(huì)出現(xiàn)“某某App復(fù)制自備忘錄”的安全提示，多次測(cè)試后發(fā)現(xiàn)，結(jié)果跟上述測(cè)試一樣，82%的App都會(huì)讀取剪貼板。

“蘋果在iOS 14之前都沒有對(duì)剪貼板內(nèi)容進(jìn)行安全提示和過濾，iOS 14正式版發(fā)布前還不清楚是否會(huì)過濾。” 一家企業(yè)安全服務(wù)商指出，“只要是用戶復(fù)制粘貼的信息，App幾乎都可以讀取，比如文本、圖片、文件基本信息等。”

對(duì)App來說，剪切板是一個(gè)很好的工具，比如淘寶和抖音的鏈接被微信拒之門外后，他們就利用口令、二維碼等形式來實(shí)現(xiàn)跳轉(zhuǎn)。抖音和淘寶都會(huì)先識(shí)別，,有自家的特殊標(biāo)識(shí)的會(huì)上傳云端匹配相關(guān)視頻或商品，返回結(jié)果給用戶。如果沒有對(duì)應(yīng)結(jié)果，用戶就感知不到這一行為。

02

二次粘貼才是最大的風(fēng)險(xiǎn)

“二次粘貼才是最大的風(fēng)險(xiǎn)。”民間互聯(lián)網(wǎng)安全組織網(wǎng)絡(luò)尖刀創(chuàng)始人曲子龍指出，剪貼板最大的潛在風(fēng)險(xiǎn)不是第一次復(fù)制粘貼，在日常生活中，第一次復(fù)制粘貼的內(nèi)容大部分都是為方便用戶提供信息給App的，真正的風(fēng)險(xiǎn)是用戶復(fù)制了內(nèi)容粘貼到A應(yīng)用之后，復(fù)制的內(nèi)容并沒有被回收，打開B應(yīng)用時(shí)該內(nèi)容仍然可以被獲取到，從而造成敏感信息的泄漏風(fēng)險(xiǎn)。

值得一提的是，上述幾次測(cè)試結(jié)果都是在二次粘貼的測(cè)試環(huán)境下得出，《IT時(shí)報(bào)》記者先在備忘錄這個(gè)App中完成復(fù)制和粘貼兩個(gè)動(dòng)作，再打開50個(gè)App查看是否有安全提醒。

同時(shí)，《IT時(shí)報(bào)》記者做多次粘貼測(cè)試發(fā)現(xiàn)，在運(yùn)行iOS 14測(cè)試版的iPhone上，基本上，跨App粘貼20次后，該復(fù)制內(nèi)容會(huì)失效，無法再粘貼。但每次次數(shù)略有差別，以此推斷可能跟時(shí)間相關(guān)，每隔一段時(shí)間，iPhone會(huì)清空一次剪貼板。

在敏感信息回收這點(diǎn)上銀行系A(chǔ)pp做得較好，當(dāng)復(fù)制粘貼銀行卡賬號(hào)后，再登錄銀行類App，多家銀行都會(huì)出現(xiàn)一條提示：“您是否需要向銀行卡（賬號(hào)）轉(zhuǎn)賬”，包括工商銀行、招商銀行、郵儲(chǔ)銀行、浦發(fā)銀行、上海銀行等都有此功能。

所幸的是，你在一家銀行完成取消或轉(zhuǎn)賬這個(gè)動(dòng)作后，再登錄其他銀行App就不會(huì)再出現(xiàn)這條提示。

03

小米對(duì)標(biāo)iOS 14

照一照面具下的安卓應(yīng)用

小米MIUI 12系統(tǒng)升級(jí)了隱私保護(hù)功能，這個(gè)功能比iOS 14的提醒更到位，被手機(jī)圈認(rèn)為是流氓軟件的克星。

只要App調(diào)取用戶個(gè)人信息，小米這一功能便會(huì)提醒，同時(shí)返回一個(gè)“空白通行證”，一定程度上解決了“不給權(quán)限不讓用”的問題。

[[332041]]

于是，《IT時(shí)報(bào)》記者利用小米隱私功能測(cè)試了上述50款A(yù)pp的安卓版，也只有11個(gè)App是不主動(dòng)讀取剪貼板的，分別是微信、國美、亞馬遜中國、知乎、微眾銀行、餓了么、美團(tuán)外賣、叮咚買菜、58到家、攜程和滴滴出行。

不主動(dòng)讀取的安卓應(yīng)用比蘋果應(yīng)用還略多一些并不能說明安卓比蘋果更安全，因?yàn)閺淖x取次數(shù)來看十分觸目驚心，有部分安卓應(yīng)用甚至在兩分鐘內(nèi)讀取了20次剪貼板。

從蘋果和安卓的對(duì)比測(cè)試可以看出，在國內(nèi)，讀取用戶剪貼板是一個(gè)非常普遍的行為。

“要看有沒有實(shí)際侵權(quán)，還要看App讀取剪貼板后會(huì)不會(huì)上傳并留存用戶個(gè)人信息。”曲子龍說道。這就相當(dāng)于構(gòu)成個(gè)人信息收集行為了。

那么如何界定是否侵權(quán)？根據(jù)《App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》第三條第1點(diǎn)，征得用戶同意以前就開始收集個(gè)人信息，可認(rèn)定為“未經(jīng)用戶同意收集使用個(gè)人信息”；第四條第1和第3點(diǎn)指出，收集的個(gè)人信息類型與現(xiàn)有業(yè)務(wù)功能無關(guān)，收集個(gè)人信息的頻度等超出業(yè)務(wù)功能實(shí)際需要，可認(rèn)定為“違反必要原則”。

蘋果系統(tǒng)的剪貼板一直被認(rèn)為比安卓系統(tǒng)更安全。因?yàn)樵趇Phone上，當(dāng)你復(fù)制一條新內(nèi)容后，會(huì)直接覆蓋之前復(fù)制的內(nèi)容。然而，安卓手機(jī)會(huì)保留更多內(nèi)容在剪貼板上，所以你常?？梢栽谳斎敕ǖ鹊胤讲榭醇糍N板歷史記錄。

近來，安卓手機(jī)廠商也開始意識(shí)到剪貼板的信息安全問題，多家安卓手機(jī)廠商都推出了幾秒清空剪貼板的功能。

由此可以看到，國內(nèi)手機(jī)廠商已經(jīng)在帶頭凈化應(yīng)用過度索取信息的問題生態(tài)，蘋果此次更新之用意，也不單單只是提醒用戶，誰在跟蹤我，也在警告開發(fā)者。

除了要注意國內(nèi)漸趨嚴(yán)格的個(gè)人信息收集與使用法規(guī)外，中國應(yīng)用出海也需要重視用戶隱私保護(hù)問題。繼歐盟在2018年出臺(tái)史上最嚴(yán)的隱私法規(guī)《通用數(shù)據(jù)保護(hù)條例》（GDPR）后，今年美國也出臺(tái)了甚嚴(yán)的《加利福尼亞州消費(fèi)者隱私法案》（CCPA）。

今年2月，兩位國外iOS開發(fā)者發(fā)出警告，由于蘋果和安卓手機(jī)中的一個(gè)漏洞，數(shù)十款主流App經(jīng)常訪問剪貼板內(nèi)容，盡管此舉沒有太大危害，但可能會(huì)被黑客利用。

那么，剪貼板在什么情況下容易造成信息泄露，并存在被黑客或流氓App濫用的危險(xiǎn)？

多位白帽子和安全專家向《IT時(shí)報(bào)》記者指出，在蘋果手機(jī)上一次性復(fù)制粘貼賬戶+密碼、姓名+身份證號(hào)+家庭住址+電話等關(guān)聯(lián)組合信息時(shí)，或者在安卓手機(jī)上一次性復(fù)制或連續(xù)復(fù)制組成關(guān)聯(lián)信息，對(duì)于在“偷看”的App來說是有價(jià)值的。

如果只是一個(gè)密碼，那么App得到的也只是一串無意義的字符串，加之手機(jī)不越獄，App是通過官方渠道安裝的，就不必過多擔(dān)心。