iOS 14放大招

Apple每年都在WWDC上提供新的iOS信息， 但是Apple仍然喜歡隱藏和隱藏某些功能， 例如，蘋果公司最近在WWDC 20期間發(fā)布了iOS和iPadOS的許多新功能，并在隱私方面進(jìn)行了許多改進(jìn)。

不過除了WWDC 20發(fā)布會(huì)上講到的內(nèi)容外，蘋果還悄悄加入了一個(gè)新的功能：在iOS 14與iPadOS 14中，軟件讀取剪貼板的行為會(huì)被專門標(biāo)記出來了。

在微博和知乎上，不少用戶都反映說升級iOS 14后打開應(yīng)用有一定幾率會(huì)彈出“從剪貼板”的提示，比如“微博 pasted from 知乎”或這樣，更有用戶反映說“我手上的國內(nèi)軟件22個(gè)只有三個(gè)沒獲取”。這一提示也激起了大家對個(gè)人隱私的討論，不少用戶開始擔(dān)心這些軟件擅自讀取自己的剪貼板，背地里究竟還有哪些自己不知道的小動(dòng)作。

為什么軟件要監(jiān)控剪貼板

先說說軟件為什么要“監(jiān)控”用戶的剪貼板吧：本質(zhì)上，應(yīng)用監(jiān)控剪貼板是為了獲取剪貼板內(nèi)的內(nèi)容，比如你從微信里復(fù)制了一句話，并粘貼到微博里，這里微博就獲取了你的剪貼板。

我知道這句話看起來就像灌水自媒體的車轱轆話，但這也為我們帶出了下一個(gè)問題：應(yīng)用程序?yàn)槭裁匆次业募糍N板呢?或者換個(gè)說法，應(yīng)用程序拿到我的剪貼板內(nèi)容后要去做什么呢?

單就蘋果手機(jī)生態(tài)而言，應(yīng)用程序獲取剪貼板的目的通?？梢苑譃椤肮δ堋薄ⅰ疤D(zhuǎn)”與“信息”這三個(gè)大類。

這里的功能指的是某些應(yīng)用程序在實(shí)現(xiàn)特定操作的流程必須使用剪貼板，比如在Pin中，軟件的分詞功能就是通過獲取用戶剪貼板內(nèi)容并調(diào)用分詞算法來實(shí)現(xiàn)的。同樣的，一些“劃詞翻譯”的第三方軟件也是通過讀取用戶剪貼板的方式獲取用戶復(fù)制的單詞，從而減少用戶操作，提高整體效率。

至于跳轉(zhuǎn)功能，想必大家應(yīng)該非常熟悉了，“fu植這行話”這種淘口令想必大家都有見過。由于互聯(lián)網(wǎng)巨頭間的“相互斗法”，淘寶的商品鏈接無法通過常見的分享功能發(fā)送到微信中，相關(guān)的敏感詞比如“復(fù)制這行話”也會(huì)被微信識(shí)別出來。

迫于無奈，淘寶開發(fā)了“淘口令”這種“不是正常人可以打出來”的商品鏈接，用戶只要復(fù)制淘口令并打開淘寶，通過后臺(tái)掃描用戶的剪貼板，淘寶就能自動(dòng)抓取并解碼出正確的商品鏈接。

上述兩種情況在我看來還算可以理解，因?yàn)樗麄冏x取用戶剪貼板的行為本質(zhì)上由用戶授權(quán)，但除了上述這兩種情況以外，還有一種讀取用戶剪貼板的情況，這類行為也是我們最擔(dān)心的一種——“軟件在偷窺我們”。

“監(jiān)控”用戶能給開發(fā)商帶來什么?

我們剛才介紹有講過，所謂“監(jiān)控剪貼板”，本質(zhì)上就是軟件在前臺(tái)或后臺(tái)、公開或私下收集我們剪貼板內(nèi)的資料。有的人可能會(huì)想不就是看看我平時(shí)復(fù)制了什么嗎?有什么大不了的。但其實(shí)剪貼板能泄露的個(gè)人信息那是一點(diǎn)都不少。

往輕了說，第三方App可以根據(jù)你復(fù)制的淘口令或產(chǎn)品名稱對你進(jìn)行精確推廣。比如社交平臺(tái)A讀取小明的剪貼板并獲得“米諾地耳”這個(gè)關(guān)鍵詞后，可以將“脫發(fā)”這個(gè)關(guān)鍵詞打在小明這個(gè)用戶身上。而且因小明注冊應(yīng)用a時(shí)綁定了自己手機(jī)號，因此與社交平臺(tái)A屬同一個(gè)母公司的電商軟件B、音樂軟件C都知道小明脫發(fā)，并會(huì)向這個(gè)手機(jī)號對應(yīng)的用戶推送脫發(fā)治療的廣告。

如果這個(gè)母公司有專門的廣告平臺(tái)，而小明工作時(shí)用到的第三方網(wǎng)站D使用了這個(gè)母公司的廣告插件，即使是在第三方網(wǎng)站D上面，小明也能看到治療脫發(fā)的廣告。

除此之外，監(jiān)控剪貼板還能起到用戶畫像的作用，這里再拿小明舉例。在看完剛才那一段話后，小明決定分別使用手機(jī)號1、2、3注冊社交平臺(tái)A、電商軟件B和音樂軟件C，并且在三個(gè)軟件中使用三個(gè)不同的人設(shè)，以此混淆母公司的視野。

但因?yàn)槟腹酒煜碌能浖纪ㄟ^偷窺用戶的剪貼板，發(fā)現(xiàn)這三個(gè)看似不同的用戶有著高度相同的興趣愛好：三個(gè)用戶都都喜歡搜索達(dá)爾優(yōu)鍵盤，都喜歡聽某流量明星的歌，還都喜歡吃漢堡王，那母公司就會(huì)大膽猜測這三個(gè)用戶其實(shí)都是小明，并將三個(gè)賬戶的廣告關(guān)鍵詞進(jìn)行關(guān)聯(lián)。換句話說，小明還是逃不掉電腦屏幕彈出脫發(fā)廣告的困境。

剪貼板帶來的安全隱患

這還不是最嚴(yán)重的情況，在個(gè)人信息泄露異常泛濫的現(xiàn)在，如果某些軟件如果有這個(gè)想法，只要持續(xù)“偷窺”剪貼板，很大幾率可以獲得你的姓名、身份證號、常用地址、工作信息。甚至連手機(jī)號碼、銀行卡號、信用卡有效期、短信驗(yàn)證碼、常用密碼等全套金融信息都有可能被不法分子掌握并打包出售。

不明白他們是怎么拿到常用密碼的?不妨先想想那個(gè)經(jīng)常復(fù)制粘貼的視頻網(wǎng)站會(huì)員密碼，是不是“碰巧”也是QQ、微信、微博甚至網(wǎng)銀的密碼?雖然微信不會(huì)讀取你的剪貼板，但你退出微信后打開的其他軟件會(huì)不會(huì)呢?

沒人敢為你保證。

更何況在iOS引入了通用剪貼板的功能，借助iCloud，Mac、iPad和iPhone可以互相共享剪貼板內(nèi)容。換句話說，只要某些惡意軟件有這個(gè)想法，你上班時(shí)在Mac上復(fù)制的內(nèi)容，iOS上的惡意軟件也能同樣獲取到。

我們能怎么辦?

說實(shí)話，現(xiàn)階段我們能做的還真不多。出于防范的角度，我們可以將那些惡意讀取剪切板的軟件都刪掉，也可以通過第三方軟件清理剪切板，比如密碼管理軟件1Password就可以設(shè)定90秒都自動(dòng)清理剪貼板，實(shí)在不行也可以復(fù)制后重啟手機(jī)解決后患。剪貼板泄露個(gè)人隱私這個(gè)問題也不僅出現(xiàn)在iPhone上，Windows和Android在剪貼板權(quán)限管理上更為混亂，也同樣有著信息泄露的隱患。

但就像我平時(shí)常說的一樣，軟件暴露的是用戶的隱私風(fēng)險(xiǎn)，我們不應(yīng)斥責(zé)用戶不注意個(gè)人信息保護(hù)。相反的，我們應(yīng)該一起推動(dòng)業(yè)界發(fā)展，讓科技巨頭們正視這個(gè)問題，也應(yīng)該用合適的手段向那些窺探用戶個(gè)人信息的廠商表達(dá)我們的態(tài)度。

個(gè)人隱私的保護(hù)是一場持久戰(zhàn)，引起重視、推動(dòng)改進(jìn)也不是一朝一夕就能完成的事。如果這種“偷窺”的風(fēng)氣不加以改正，即使數(shù)字巨頭們“修復(fù)”了這個(gè)“bug”，它們也會(huì)開發(fā)出新的方式窺探用戶隱私。而在用戶隱私真正得到保護(hù)之前，我們能做的也只有讓更多的人明白隱私泄露的現(xiàn)況了。