剪切板在哪里(手机剪贴板在哪里)

  原标题:50款主流App悄悄读取手机中的剪贴板

  剪切板在哪里(手机剪贴板在哪里)

  谁在悄悄读取我的剪贴板

  50款主流App深度测试 八成“暗藏玄机”

  IT时报记者 孙妍 制图 冯诚杰

  “你的电话、收件地址发我一下。”

  “你的视频会员账号和密码能借我用一下吗?”

  “钱打到哪张卡上,开卡行和身份证号也同步发我一下。”

  ……

  这些信息的交流,往往伴随着复制粘贴这个动作。但你是否想过,这个习以为常的动作可能会泄露个人隐私信息。

  苹果iOS 14正式版尚未发布,就引起了关于隐私安全的讨论,因为iOS 14新增了安全提醒功能。有了此功能,一旦手机中的App读取剪贴板,iPhone就会弹出通知:“A应用复制自B应用”。如此一来,用户就知道哪些App可能在跟踪自己的信息。

  那么,国内主流App在苹果的新系统下是否会无处遁形?安卓系统用户是否会碰到同样情况?记者为此亲自测试,并采访了业内技术专家,结果让人吃惊。

  50个主流App实测

  仅9个没有主动获取剪贴板

  据外媒报道,有用户升级到iOS 14后,发现系统不断提示抖音短视频国际版TikTok在获取剪贴板。同时,谷歌Chrome浏览器、新闻应用CNN、Google News和星巴克都被网友曝光会对用户的剪贴板进行读取。

  对此,TikTok相关负责人表示,访问剪贴板是为了打击重复刷无意义的垃圾评论、恶意刷评论等行为,但不会访问用户剪贴板的任何内容。不过,为了消除混淆,TikTok已经向App Store提交了更新版本并下线了反垃圾邮件功能。

  那么,国内用户会碰到类似的情况吗?

  为此,《IT时报》记者在自己的iPhone升级为iOS14测试版后,测试了50个主流App,覆盖电商、社交、视频、音乐、金融、生活、出行等领域。结果让人大吃一惊,只有9个App没有触发复制剪贴板的提醒,分别是微信、国美、亚马逊中国、知乎、同花顺、美团外卖、叮咚买菜、携程和滴滴出行。

  也就是说,当用户在iPhone的任意一个App里做复制粘贴动作后,打开其他41款App都可能会复制该内容。

  令人细思极恐的是,在iOS14版本之前,用户对于这一行为毫无感知,苹果默许该行为。

  那么,苹果会自动识别敏感信息,并帮助用户拦截吗?

  《IT时报》记者在iPhone自带的备忘录里复制了一条关联信息,包含姓名、电话、家庭住址和身份证号等敏感信息,并在备忘录里完成了粘贴的动作。但当记者一一打开这50款App时,仍旧会出现“某某App复制自备忘录”的安全提示,多次测试后发现,结果跟上述测试一样,82%的App都会读取剪贴板。

  “苹果在iOS 14之前没有对剪贴板内容进行安全提示和过滤,iOS 14正式版发布前还不清楚是否会过滤。” 一家企业安全服务商指出,“只要是用户复制粘贴的信息,App几乎都可以读取,比如文本、图片、文件基本信息等。”

  对App来说,剪切板是一个很好的工具,比如淘宝和抖音的链接被微信拒之门外后,他们就利用口令、二维码等形式来实现跳转。抖音和淘宝都会先识别是否有自家的特殊标识,才会上传云端匹配相关视频或商品,返回结果给用户。如果没有对应结果,用户就不会有感知。

  二次粘贴带来大风险

  易致敏感信息泄露

  “二次粘贴才是最大的风险。”民间互联网安全组织网络尖刀创始人曲子龙指出,剪贴板最大的潜在风险不是第一次复制粘贴,在日常生活中,第一次复制粘贴的内容大部分是为方便用户提供信息给App的,真正的风险是用户复制了内容粘贴到A应用之后,复制的内容并没有被回收,打开B应用时该内容仍然可以被获取,从而造成敏感信息的泄露。

  值得一提的是,上述几次测试结果都是在二次粘贴的测试环境下得出,《IT时报》记者先在备忘录这个App中完成复制和粘贴两个动作,再打开50个App查看是否有安全提醒。

  同时,《IT时报》记者多次粘贴测试发现,在运行iOS 14测试版的iPhone上,基本上,跨App粘贴20次后,该复制内容会失效,无法再粘贴。每次略有差别,据此判断可能跟时间相关,每隔一段时间,iPhone会清空一次剪贴板。

  在敏感信息回收方面,银行系App做得较好,当复制粘贴银行卡账号后,再登录银行类App,多家银行都会出现一条提示:“您是否需要向银行卡(银行卡账号)转账”,包括工商银行、招商银行、邮储银行、浦发银行、上海银行等,所幸是,用户在一家银行完成取消或转账这个动作后,再登录其他银行App就不会再出现这条提示。

  小米对标iOS 14

  照一照面具下的安卓应用

  小米MIUI 12系统升级了隐私保护功能,这个功能比iOS 14的提醒功能更到位,被手机圈认为是流氓软件的克星。

  只要App调取用户个人信息,小米这一功能便会提醒,同时返回“空白通行证”,一定程度上解决了“不给权限不让用”的问题。

  《IT时报》记者利用小米隐私功能测试了上述50款App的安卓版,也只有11个App是不主动读取剪贴板的,分别是微信、国美、亚马逊中国、知乎、微众银行、饿了么、美团外卖、叮咚买菜、58到家、携程和滴滴出行。虽然不主动读取的安卓应用比苹果应用还略多一些,但从读取次数来看十分触目惊心,有部分安卓应用甚至在两分钟内读取了20次剪贴板。

  从苹果和安卓的对比测试可以看出,在国内,读取用户剪贴板是非常普遍的现象。

  “有没有实际侵权,还要看App读取剪贴板后会不会上传并留存用户个人信息。”曲子龙说道。

  那么如何界定是否侵权?根据《App违法违规收集使用个人信息行为认定方法》第三条第1点,征得用户同意以前就开始收集个人信息,可认定为“未经用户同意收集使用个人信息”;第四条第1和第3点指出,收集的个人信息类型与现有业务功能无关,收集个人信息的频度等超出业务功能实际需要,可认定为“违反必要原则”。

  苹果“敲打”开发者

  索取应用权限不要“贪”

  苹果系统的剪贴板一直被认为比安卓系统更安全。因为在iPhone上,当用户复制一条新内容时,会直接覆盖前面复制的内容。然而,安卓手机会保留更多内容在剪贴板上,所以用户常常可以在输入法等地方查看剪贴板历史记录。安卓手机厂商也开始意识到剪贴板的信息安全问题,多家安卓手机厂商都推出了几秒清空剪贴板的功能。

  由此可以看到,国内手机厂商已经在带头净化应用过度索取的大环境,苹果此次更新之用意,也不单单只是提醒用户,也是在警告开发者。

  继欧盟在2018年出台史上最严的隐私法规《通用数据保护条例》(GDPR)后,今年美国也出台了《加利福尼亚州消费者隐私法案》(CCPA),中国应用出海需要越来越重视用户隐私保护的安全问题。

  今年2月,两位国外iOS开发者发出警告,由于苹果和安卓手机中的一个漏洞,数十款主流App经常访问剪贴板内容,尽管此举没有太大危害,但可能会被黑客利用。

  那么,剪贴板在什么情况下容易造成信息泄露,并存在被黑客或流氓App滥用的危险?

  多位白帽子和安全专家向《IT时报》记者指出,在苹果手机上一次性复制粘贴账户+密码、姓名+身份证号+家庭住址+电话等关联组合信息时,或者在安卓手机上一次性复制或连续复制组成关联信息,对于在“偷看”的App来说是有价值的。

  如果只是一个密码,那么App得到的也只是一串无意义的字符串,加之手机不“越狱”,App是通过官方渠道安装的,就不必过多担心。 (冯诚杰对此文亦有贡献)返回搜狐,查看更多

  责任编辑: