iPhone的这项新功能,让流氓软件无处可逃
自2008年以来,每年WWDC上苹果都会为我们带来新IOS的信息。但不知道为什么,有些功能苹果总是喜欢掖着藏着,颇有“我做了,但我不说”的意味。比如在前段时间的WWDC 20上,苹果苹果发布了一系列iOS与iPadOS的新功能,针对个人隐私方面也做出了不少改进。
不过除了WWDC 20发布会上讲到的内容外,苹果还悄悄加入了一个新的功能:在iOS 14与iPadOS 14中,软件读取剪贴板的行为会被专门标记出来了。
在微博和知乎上,不少用户都反映说升级iOS 14后打开应用有一定几率会弹出“从剪贴板”的提示,比如“微博 pasted from 知乎”或这样,更有用户反映说“我手上的国内软件22个只有三个没获取”。这一提示也激起了大家对个人隐私的讨论,不少用户开始担心这些软件擅自读取自己的剪贴板,背地里究竟还有哪些自己不知道的小动作。
为什么软件要监控剪贴板
先说说软件为什么要“监控”用户的剪贴板吧:本质上,应用监控剪贴板是为了获取剪贴板内的内容,比如你从微信里复制了一句话,并粘贴到微博里,这里微博就获取了你的剪贴板。
我知道这句话看起来就像灌水自媒体的车轱辘话,但这也为我们带出了下一个问题:应用程序为什么要看我的剪贴板呢?或者换个说法,应用程序拿到我的剪贴板内容后要去做什么呢?
单就苹果手机生态而言,应用程序获取剪贴板的目的通常可以分为“功能”、“跳转”与“信息”这三个大类。
这里的功能指的是某些应用程序在实现特定操作的流程必须使用剪贴板,比如在Pin中,软件的分词功能就是通过获取用户剪贴板内容并调用分词算法来实现的。同样的,一些“划词翻译”的第三方软件也是通过读取用户剪贴板的方式获取用户复制的单词,从而减少用户操作,提高整体效率。
至于跳转功能,想必大家应该非常熟悉了,“fu植这行话”这种淘口令想必大家都有见过。由于互联网巨头间的“相互斗法”,淘宝的商品链接无法通过常见的分享功能发送到微信中,相关的敏感词比如“复制这行话”也会被微信识别出来。
迫于无奈,淘宝开发了“淘口令”这种“不是正常人可以打出来”的商品链接,用户只要复制淘口令并打开淘宝,通过后台扫描用户的剪贴板,淘宝就能自动抓取并解码出正确的商品链接。
上述两种情况在我看来还算可以理解,因为他们读取用户剪贴板的行为本质上由用户授权,但除了上述这两种情况以外,还有一种读取用户剪贴板的情况,这类行为也是我们最担心的一种——“软件在偷窥我们”。
“监控”用户能给开发商带来什么?
我们刚才介绍有讲过,所谓“监控剪贴板”,本质上就是软件在前台或后台、公开或私下收集我们剪贴板内的资料。有的人可能会想不就是看看我平时复制了什么吗?有什么大不了的。但其实剪贴板能泄露的个人信息那是一点都不少。
往轻了说,第三方App可以根据你复制的淘口令或产品名称对你进行精确推广。比如社交平台A读取小明的剪贴板并获得“米诺地耳”这个关键词后,可以将“脱发”这个关键词打在小明这个用户身上。而且因小明注册应用a时绑定了自己手机号,因此与社交平台A属同一个母公司的电商软件B、音乐软件C都知道小明脱发,并会向这个手机号对应的用户推送脱发治疗的广告。
如果这个母公司有专门的广告平台,而小明工作时用到的第三方网站D使用了这个母公司的广告插件,即使是在第三方网站D上面,小明也能看到治疗脱发的广告。
除此之外,监控剪贴板还能起到用户画像的作用,这里再拿小明举例。在看完刚才那一段话后,小明决定分别使用手机号1、2、3注册社交平台A、电商软件B和音乐软件C,并且在三个软件中使用三个不同的人设,以此混淆母公司的视野。
但因为母公司旗下的软件都通过偷窥用户的剪贴板,发现这三个看似不同的用户有着高度相同的兴趣爱好:三个用户都都喜欢搜索达尔优键盘,都喜欢听某流量明星的歌,还都喜欢吃汉堡王,那母公司就会大胆猜测这三个用户其实都是小明,并将三个账户的广告关键词进行关联。换句话说,小明还是逃不掉电脑屏幕弹出脱发广告的困境。
剪贴板带来的安全隐患
这还不是最严重的情况,在个人信息泄露异常泛滥的现在,如果某些软件如果有这个想法,只要持续“偷窥”剪贴板,很大几率可以获得你的姓名、身份证号、常用地址、工作信息。甚至连手机号码、银行卡号、信用卡有效期、短信验证码、常用密码等全套金融信息都有可能被不法分子掌握并打包出售。
不明白他们是怎么拿到常用密码的?不妨先想想那个经常复制粘贴的视频网站会员密码,是不是“碰巧”也是QQ、微信、微博甚至网银的密码?虽然微信不会读取你的剪贴板,但你退出微信后打开的其他软件会不会呢?
没人敢为你保证。
更何况在iOS引入了通用剪贴板的功能,借助iCloud,mac、iPad和iphone可以互相共享剪贴板内容。换句话说,只要某些恶意软件有这个想法,你上班时在Mac上复制的内容,iOS上的恶意软件也能同样获取到。
我们能怎么办?
说实话,现阶段我们能做的还真不多。出于防范的角度,我们可以将那些恶意读取剪切板的软件都删掉,也可以通过第三方软件清理剪切板,比如密码管理软件1Password就可以设定90秒都自动清理剪贴板,实在不行也可以复制后重启手机解决后患。剪贴板泄露个人隐私这个问题也不仅出现在iPhone上,windows和Android在剪贴板权限管理上更为混乱,也同样有着信息泄露的隐患。
但就像我平时常说的一样,软件暴露的是用户的隐私风险,我们不应斥责用户不注意个人信息保护。相反的,我们应该一起推动业界发展,让科技巨头们正视这个问题,也应该用合适的手段向那些窥探用户个人信息的厂商表达我们的态度。
个人隐私的保护是一场持久战,引起重视、推动改进也不是一朝一夕就能完成的事。如果这种“偷窥”的风气不加以改正,即使数字巨头们“修复”了这个“bug”,它们也会开发出新的方式窥探用户隐私。而在用户隐私真正得到保护之前,我们能做的也只有让更多的人明白隐私泄露的现况了。