誰在悄悄讀取我的剪貼板

50款主流App深度測試 八成“暗藏玄機”

IT時報記者 孫妍 制圖 馮誠杰

“你的電話、收件地址發我一下。”

“你的視頻會員賬號和密碼能借我用一下嗎？”

“錢打到哪張卡上，開卡行和身份證號也同步發我一下。”

……

這些信息的交流，往往伴隨著復制粘貼這個動作。但你是否想過，這個習以為常的動作可能會泄露個人隱私信息。

蘋果iOS 14正式版尚未發布，就引起了關于隱私安全的討論，因為iOS 14新增了安全提醒功能。有了此功能，一旦手機中的App讀取剪貼板，iPhone就會彈出通知：“A應用復制自B應用”。如此一來，用戶就知道哪些App可能在跟蹤自己的信息。

那么，國內主流App在蘋果的新系統下是否會無處遁形？安卓系統用戶是否會碰到同樣情況？記者為此親自測試，并采訪了業內技術專家，結果讓人吃驚。

50個主流App實測

僅9個沒有主動獲取剪貼板

據外媒報道，有用戶升級到iOS 14后，發現系統不斷提示抖音短視頻國際版TikTok在獲取剪貼板。同時，谷歌Chrome瀏覽器、新聞應用CNN、Google News和星巴克都被網友曝光會對用戶的剪貼板進行讀取。

對此，TikTok相關負責人表示，訪問剪貼板是為了打擊重復刷無意義的垃圾評論、惡意刷評論等行為，但不會訪問用戶剪貼板的任何內容。不過，為了消除混淆，TikTok已經向App Store提交了更新版本并下線了反垃圾郵件功能。

那么，國內用戶會碰到類似的情況嗎？

為此，《IT時報》記者在自己的iPhone升級為iOS14測試版后，測試了50個主流App，覆蓋電商、社交、視頻、音樂、金融、生活、出行等領域。結果讓人大吃一驚，只有9個App沒有觸發復制剪貼板的提醒，分別是微信、國美、亞馬遜中國、知乎、同花順、美團外賣、叮咚買菜、攜程和滴滴出行。

也就是說，當用戶在iPhone的任意一個App里做復制粘貼動作后，打開其他41款App都可能會復制該內容。

令人細思極恐的是，在iOS14版本之前，用戶對于這一行為毫無感知，蘋果默許該行為。

那么，蘋果會自動識別敏感信息，并幫助用戶攔截嗎？

《IT時報》記者在iPhone自帶的備忘錄里復制了一條關聯信息，包含姓名、電話、家庭住址和身份證號等敏感信息，并在備忘錄里完成了粘貼的動作。但當記者一一打開這50款App時，仍舊會出現“某某App復制自備忘錄”的安全提示，多次測試后發現，結果跟上述測試一樣，82%的App都會讀取剪貼板。

“蘋果在iOS 14之前沒有對剪貼板內容進行安全提示和過濾，iOS 14正式版發布前還不清楚是否會過濾。” 一家企業安全服務商指出，“只要是用戶復制粘貼的信息，App幾乎都可以讀取，比如文本、圖片、文件基本信息等。”

對App來說，剪切板是一個很好的工具，比如淘寶和抖音的鏈接被微信拒之門外后，他們就利用口令、二維碼等形式來實現跳轉。抖音和淘寶都會先識別是否有自家的特殊標識，才會上傳云端匹配相關視頻或商品，返回結果給用戶。如果沒有對應結果，用戶就不會有感知。

二次粘貼帶來大風險

易致敏感信息泄露

“二次粘貼才是最大的風險。”民間互聯網安全組織網絡尖刀創始人曲子龍指出，剪貼板最大的潛在風險不是第一次復制粘貼，在日常生活中，第一次復制粘貼的內容大部分是為方便用戶提供信息給App的，真正的風險是用戶復制了內容粘貼到A應用之后，復制的內容并沒有被回收，打開B應用時該內容仍然可以被獲取，從而造成敏感信息的泄露。

值得一提的是，上述幾次測試結果都是在二次粘貼的測試環境下得出，《IT時報》記者先在備忘錄這個App中完成復制和粘貼兩個動作，再打開50個App查看是否有安全提醒。

同時，《IT時報》記者多次粘貼測試發現，在運行iOS 14測試版的iPhone上，基本上，跨App粘貼20次后，該復制內容會失效，無法再粘貼。每次略有差別，據此判斷可能跟時間相關，每隔一段時間，iPhone會清空一次剪貼板。

在敏感信息回收方面，銀行系App做得較好，當復制粘貼銀行卡賬號后，再登錄銀行類App，多家銀行都會出現一條提示：“您是否需要向銀行卡（銀行卡賬號）轉賬”，包括工商銀行、招商銀行、郵儲銀行、浦發銀行、上海銀行等，所幸是，用戶在一家銀行完成取消或轉賬這個動作后，再登錄其他銀行App就不會再出現這條提示。

小米對標iOS 14

照一照面具下的安卓應用

小米MIUI 12系統升級了隱私保護功能，這個功能比iOS 14的提醒功能更到位，被手機圈認為是流氓軟件的克星。

只要App調取用戶個人信息，小米這一功能便會提醒，同時返回“空白通行證”，一定程度上解決了“不給權限不讓用”的問題。

《IT時報》記者利用小米隱私功能測試了上述50款App的安卓版，也只有11個App是不主動讀取剪貼板的，分別是微信、國美、亞馬遜中國、知乎、微眾銀行、餓了么、美團外賣、叮咚買菜、58到家、攜程和滴滴出行。雖然不主動讀取的安卓應用比蘋果應用還略多一些，但從讀取次數來看十分觸目驚心，有部分安卓應用甚至在兩分鐘內讀取了20次剪貼板。

從蘋果和安卓的對比測試可以看出，在國內，讀取用戶剪貼板是非常普遍的現象。

“有沒有實際侵權，還要看App讀取剪貼板后會不會上傳并留存用戶個人信息。”曲子龍說道。

那么如何界定是否侵權？根據《App違法違規收集使用個人信息行為認定方法》第三條第1點，征得用戶同意以前就開始收集個人信息，可認定為“未經用戶同意收集使用個人信息”；第四條第1和第3點指出，收集的個人信息類型與現有業務功能無關，收集個人信息的頻度等超出業務功能實際需要，可認定為“違反必要原則”。　

蘋果“敲打”開發者

索取應用權限不要“貪”

蘋果系統的剪貼板一直被認為比安卓系統更安全。因為在iPhone上，當用戶復制一條新內容時，會直接覆蓋前面復制的內容。然而，安卓手機會保留更多內容在剪貼板上，所以用戶常常可以在輸入法等地方查看剪貼板歷史記錄。安卓手機廠商也開始意識到剪貼板的信息安全問題，多家安卓手機廠商都推出了幾秒清空剪貼板的功能。

由此可以看到，國內手機廠商已經在帶頭凈化應用過度索取的大環境，蘋果此次更新之用意，也不單單只是提醒用戶，也是在警告開發者。

繼歐盟在2018年出臺史上最嚴的隱私法規《通用數據保護條例》（GDPR）后，今年美國也出臺了《加利福尼亞州消費者隱私法案》（CCPA），中國應用出海需要越來越重視用戶隱私保護的安全問題。

今年2月，兩位國外iOS開發者發出警告，由于蘋果和安卓手機中的一個漏洞，數十款主流App經常訪問剪貼板內容，盡管此舉沒有太大危害，但可能會被黑客利用。

那么，剪貼板在什么情況下容易造成信息泄露，并存在被黑客或流氓App濫用的危險？

多位白帽子和安全專家向《IT時報》記者指出，在蘋果手機上一次性復制粘貼賬戶+密碼、姓名+身份證號+家庭住址+電話等關聯組合信息時，或者在安卓手機上一次性復制或連續復制組成關聯信息，對于在“偷看”的App來說是有價值的。

如果只是一個密碼，那么App得到的也只是一串無意義的字符串，加之手機不“越獄”，App是通過官方渠道安裝的，就不必過多擔心。　（馮誠杰對此文亦有貢獻）