你的電話,、收件地址發(fā)我一下,。

你的視頻會(huì)員賬號(hào)和密碼能借我用一下嗎？

錢打到哪張卡上，開卡行和身份證號(hào)也同步發(fā)我一下,。

交流完這些隱私信息后,，往往伴隨著復(fù)制粘貼這個(gè)動(dòng)作。你有沒有計(jì)算過,，每天會(huì)在手機(jī)上做多少次復(fù)制粘貼,？不曾想，這個(gè)習(xí)以為常的動(dòng)作可能會(huì)悄悄泄露我們的隱私,。

蘋果iOS 14已在國(guó)外掀起隱私保護(hù)的風(fēng)波,。

據(jù)外媒報(bào)道，有用戶升級(jí)到iOS 14后,，系統(tǒng)不斷提示字節(jié)跳動(dòng)旗下短視頻應(yīng)用TikTok在獲取剪貼板,。同時(shí)，谷歌chrome瀏覽器,、新聞應(yīng)用CNN,、Google News和星巴克都被網(wǎng)友在使用iOS 14時(shí)發(fā)現(xiàn)，會(huì)對(duì)用戶的剪貼板進(jìn)行讀取,。

對(duì)此,，TikTok相關(guān)負(fù)責(zé)人表示，已向App Store提交更新版本,，下線該功能以消除混淆,。訪問剪貼板是為了打擊部分用戶重復(fù)刷無(wú)意義的垃圾評(píng)論、惡意刷評(píng)論等現(xiàn)象,。他也強(qiáng)調(diào),，此功能不會(huì)訪問用戶剪貼板的任何內(nèi)容。

那么,，國(guó)內(nèi)主流App在蘋果的新系統(tǒng)下是否也會(huì)無(wú)處遁形,？

《IT時(shí)報(bào)》測(cè)試視頻

    01    

升級(jí)為iOS14測(cè)試版后，《IT時(shí)報(bào)》記者測(cè)試了50款主流App,，覆蓋電商,、社交、視頻,、音樂,、金融、生活,、出行等領(lǐng)域,，結(jié)果顯示只有9款A(yù)pp沒有觸發(fā)復(fù)制剪貼板的提醒，分別是微信,、國(guó)美,、亞馬遜中國(guó),、知乎、同花順,、美團(tuán)外賣,、叮咚買菜、攜程和滴滴出行,。

制圖：IT時(shí)報(bào) 馮誠(chéng)杰

也就是說,，當(dāng)你在iPhone的任意一個(gè)App里做復(fù)制粘貼這個(gè)動(dòng)作后，打開其他41款A(yù)pp時(shí),，都有可能被它們?cè)诘谝粫r(shí)間讀取,，但用戶不知情。

令人細(xì)思極恐的是,，在iOS14版本之前,，用戶對(duì)于這一行為是無(wú)感知的，蘋果也是默許該行為的,。

那么,，蘋果會(huì)自動(dòng)識(shí)別敏感信息，并幫助用戶攔截嗎,？

《IT時(shí)報(bào)》記者在iPhone自帶備忘錄里一次性復(fù)制一條關(guān)聯(lián)信息,，包含姓名、電話,、家庭住址和身份證號(hào)等敏感信息,，并在備忘錄里完成了粘貼的動(dòng)作。但當(dāng)記者一一打開這50款A(yù)pp時(shí),，仍舊會(huì)出現(xiàn)“某某App復(fù)制自備忘錄”的安全提示,，多次測(cè)試后發(fā)現(xiàn)，結(jié)果跟上述測(cè)試一樣,，82%的App都會(huì)讀取剪貼板,。

“蘋果在iOS 14之前都沒有對(duì)剪貼板內(nèi)容進(jìn)行安全提示和過濾，iOS 14正式版發(fā)布前還不清楚是否會(huì)過濾,?！?一家企業(yè)安全服務(wù)商指出，“只要是用戶復(fù)制粘貼的信息,，App幾乎都可以讀取,，比如文本、圖片,、文件基本信息等,。”

對(duì)App來(lái)說,，剪切板是一個(gè)很好的工具,，比如淘寶和抖音的鏈接被微信拒之門外后,，他們就利用口令、二維碼等形式來(lái)實(shí)現(xiàn)跳轉(zhuǎn),。抖音和淘寶都會(huì)先識(shí)別，,有自家的特殊標(biāo)識(shí)的會(huì)上傳云端匹配相關(guān)視頻或商品,，返回結(jié)果給用戶,。如果沒有對(duì)應(yīng)結(jié)果，用戶就感知不到這一行為,。

    02    

“二次粘貼才是最大的風(fēng)險(xiǎn),。”民間互聯(lián)網(wǎng)安全組織網(wǎng)絡(luò)尖刀創(chuàng)始人曲子龍指出,，剪貼板最大的潛在風(fēng)險(xiǎn)不是第一次復(fù)制粘貼,，在日常生活中，第一次復(fù)制粘貼的內(nèi)容大部分都是為方便用戶提供信息給App的,，真正的風(fēng)險(xiǎn)是用戶復(fù)制了內(nèi)容粘貼到A應(yīng)用之后,，復(fù)制的內(nèi)容并沒有被回收，打開B應(yīng)用時(shí)該內(nèi)容仍然可以被獲取到,，從而造成敏感信息的泄漏風(fēng)險(xiǎn),。

值得一提的是，上述幾次測(cè)試結(jié)果都是在二次粘貼的測(cè)試環(huán)境下得出,，《IT時(shí)報(bào)》記者先在備忘錄這個(gè)App中完成復(fù)制和粘貼兩個(gè)動(dòng)作,，再打開50個(gè)App查看是否有安全提醒。

同時(shí),，《IT時(shí)報(bào)》記者做多次粘貼測(cè)試發(fā)現(xiàn),，在運(yùn)行iOS 14測(cè)試版的iPhone上，基本上,，跨App粘貼20次后,，該復(fù)制內(nèi)容會(huì)失效，無(wú)法再粘貼,。但每次次數(shù)略有差別,，以此推斷可能跟時(shí)間相關(guān)，每隔一段時(shí)間,，iPhone會(huì)清空一次剪貼板,。

在敏感信息回收這點(diǎn)上銀行系A(chǔ)pp做得較好，當(dāng)復(fù)制粘貼銀行卡賬號(hào)后,，再登錄銀行類App,，多家銀行都會(huì)出現(xiàn)一條提示：“您是否需要向銀行卡（賬號(hào)）轉(zhuǎn)賬”，包括工商銀行,、招商銀行,、郵儲(chǔ)銀行,、浦發(fā)銀行、上海銀行等都有此功能,。

所幸的是,，你在一家銀行完成取消或轉(zhuǎn)賬這個(gè)動(dòng)作后，再登錄其他銀行App就不會(huì)再出現(xiàn)這條提示,。

    03    

小米MIUI 12系統(tǒng)升級(jí)了隱私保護(hù)功能,，這個(gè)功能比iOS 14的提醒更到位，被手機(jī)圈認(rèn)為是流氓軟件的克星,。

只要App調(diào)取用戶個(gè)人信息,，小米這一功能便會(huì)提醒，同時(shí)返回一個(gè)“空白通行證”,，一定程度上解決了“不給權(quán)限不讓用”的問題,。

于是，《IT時(shí)報(bào)》記者利用小米隱私功能測(cè)試了上述50款A(yù)pp的安卓版,，也只有11個(gè)App是不主動(dòng)讀取剪貼板的,，分別是微信、國(guó)美,、亞馬遜中國(guó),、知乎、微眾銀行,、餓了么,、美團(tuán)外賣、叮咚買菜,、58到家,、攜程和滴滴出行。

不主動(dòng)讀取的安卓應(yīng)用比蘋果應(yīng)用還略多一些并不能說明安卓比蘋果更安全,，因?yàn)閺淖x取次數(shù)來(lái)看十分觸目驚心,，有部分安卓應(yīng)用甚至在兩分鐘內(nèi)讀取了20次剪貼板。

從蘋果和安卓的對(duì)比測(cè)試可以看出,，在國(guó)內(nèi),，讀取用戶剪貼板是一個(gè)非常普遍的行為。

“要看有沒有實(shí)際侵權(quán),，還要看App讀取剪貼板后會(huì)不會(huì)上傳并留存用戶個(gè)人信息,。”曲子龍說道,。這就相當(dāng)于構(gòu)成個(gè)人信息收集行為了,。

那么如何界定是否侵權(quán)？根據(jù)《App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》第三條第1點(diǎn),，征得用戶同意以前就開始收集個(gè)人信息,，可認(rèn)定為“未經(jīng)用戶同意收集使用個(gè)人信息”,；第四條第1和第3點(diǎn)指出，收集的個(gè)人信息類型與現(xiàn)有業(yè)務(wù)功能無(wú)關(guān),，收集個(gè)人信息的頻度等超出業(yè)務(wù)功能實(shí)際需要,，可認(rèn)定為“違反必要原則”。

蘋果系統(tǒng)的剪貼板一直被認(rèn)為比安卓系統(tǒng)更安全,。因?yàn)樵趇Phone上,，當(dāng)你復(fù)制一條新內(nèi)容后，會(huì)直接覆蓋之前復(fù)制的內(nèi)容,。然而，安卓手機(jī)會(huì)保留更多內(nèi)容在剪貼板上,，所以你常?？梢栽谳斎敕ǖ鹊胤讲榭醇糍N板歷史記錄。

近來(lái),，安卓手機(jī)廠商也開始意識(shí)到剪貼板的信息安全問題,，多家安卓手機(jī)廠商都推出了幾秒清空剪貼板的功能。

由此可以看到,，國(guó)內(nèi)手機(jī)廠商已經(jīng)在帶頭凈化應(yīng)用過度索取信息的問題生態(tài),，蘋果此次更新之用意，也不單單只是提醒用戶,，誰(shuí)在跟蹤我,，也在警告開發(fā)者。

除了要注意國(guó)內(nèi)漸趨嚴(yán)格的個(gè)人信息收集與使用法規(guī)外,，中國(guó)應(yīng)用出海也需要重視用戶隱私保護(hù)問題,。繼歐盟在2018年出臺(tái)史上最嚴(yán)的隱私法規(guī)《通用數(shù)據(jù)保護(hù)條例》（GDPR）后，今年美國(guó)也出臺(tái)了甚嚴(yán)的《加利福尼亞州消費(fèi)者隱私法案》（CCPA）,。

今年2月,，兩位國(guó)外iOS開發(fā)者發(fā)出警告，由于蘋果和安卓手機(jī)中的一個(gè)漏洞,，數(shù)十款主流App經(jīng)常訪問剪貼板內(nèi)容,，盡管此舉沒有太大危害，但可能會(huì)被黑客利用,。

那么,，剪貼板在什么情況下容易造成信息泄露，并存在被黑客或流氓App濫用的危險(xiǎn),？ 

多位白帽子和安全專家向《IT時(shí)報(bào)》記者指出,，在蘋果手機(jī)上一次性復(fù)制粘貼賬戶+密碼、姓名+身份證號(hào)+家庭住址+電話等關(guān)聯(lián)組合信息時(shí),，或者在安卓手機(jī)上一次性復(fù)制或連續(xù)復(fù)制組成關(guān)聯(lián)信息,，對(duì)于在“偷看”的App來(lái)說是有價(jià)值的,。

如果只是一個(gè)密碼，那么App得到的也只是一串無(wú)意義的字符串,，加之手機(jī)不越獄,，App是通過官方渠道安裝的，就不必過多擔(dān)心,。

（馮誠(chéng)杰對(duì)此文亦有貢獻(xiàn)）

作者／IT時(shí)報(bào)記者 孫妍

編輯／挨踢妹

排版／馮誠(chéng)杰

圖片／馮誠(chéng)杰

來(lái)源／《IT時(shí)報(bào)》公眾號(hào)vittimes