iOS 14放大招

Apple每年都在WWDC上提供新的iOS信息， 但是Apple仍然喜歡隱藏和隱藏某些功能， 例如，蘋(píng)果公司最近在WWDC 20期間發(fā)布了iOS和iPadOS的許多新功能，并在隱私方面進(jìn)行了許多改進(jìn)。

不過(guò)除了WWDC 20發(fā)布會(huì)上講到的內(nèi)容外，蘋(píng)果還悄悄加入了一個(gè)新的功能：在iOS 14與iPadOS 14中，軟件讀取剪貼板的行為會(huì)被專門(mén)標(biāo)記出來(lái)了。

在微博和知乎上，不少用戶都反映說(shuō)升級(jí)iOS 14后打開(kāi)應(yīng)用有一定幾率會(huì)彈出“從剪貼板”的提示，比如“微博 pasted from 知乎”或這樣，更有用戶反映說(shuō)“我手上的國(guó)內(nèi)軟件22個(gè)只有三個(gè)沒(méi)獲取”。這一提示也激起了大家對(duì)個(gè)人隱私的討論，不少用戶開(kāi)始擔(dān)心這些軟件擅自讀取自己的剪貼板，背地里究竟還有哪些自己不知道的小動(dòng)作。

為什么軟件要監(jiān)控剪貼板

先說(shuō)說(shuō)軟件為什么要“監(jiān)控”用戶的剪貼板吧：本質(zhì)上，應(yīng)用監(jiān)控剪貼板是為了獲取剪貼板內(nèi)的內(nèi)容，比如你從微信里復(fù)制了一句話，并粘貼到微博里，這里微博就獲取了你的剪貼板。

我知道這句話看起來(lái)就像灌水自媒體的車(chē)轱轆話，但這也為我們帶出了下一個(gè)問(wèn)題：應(yīng)用程序?yàn)槭裁匆次业募糍N板呢?或者換個(gè)說(shuō)法，應(yīng)用程序拿到我的剪貼板內(nèi)容后要去做什么呢?

單就蘋(píng)果手機(jī)生態(tài)而言，應(yīng)用程序獲取剪貼板的目的通?？梢苑譃椤肮δ堋薄ⅰ疤D(zhuǎn)”與“信息”這三個(gè)大類(lèi)。

這里的功能指的是某些應(yīng)用程序在實(shí)現(xiàn)特定操作的流程必須使用剪貼板，比如在Pin中，軟件的分詞功能就是通過(guò)獲取用戶剪貼板內(nèi)容并調(diào)用分詞算法來(lái)實(shí)現(xiàn)的。同樣的，一些“劃詞翻譯”的第三方軟件也是通過(guò)讀取用戶剪貼板的方式獲取用戶復(fù)制的單詞，從而減少用戶操作，提高整體效率。

至于跳轉(zhuǎn)功能，想必大家應(yīng)該非常熟悉了，“fu植這行話”這種淘口令想必大家都有見(jiàn)過(guò)。由于互聯(lián)網(wǎng)巨頭間的“相互斗法”，淘寶的商品鏈接無(wú)法通過(guò)常見(jiàn)的分享功能發(fā)送到微信中，相關(guān)的敏感詞比如“復(fù)制這行話”也會(huì)被微信識(shí)別出來(lái)。

迫于無(wú)奈，淘寶開(kāi)發(fā)了“淘口令”這種“不是正常人可以打出來(lái)”的商品鏈接，用戶只要復(fù)制淘口令并打開(kāi)淘寶，通過(guò)后臺(tái)掃描用戶的剪貼板，淘寶就能自動(dòng)抓取并解碼出正確的商品鏈接。

上述兩種情況在我看來(lái)還算可以理解，因?yàn)樗麄冏x取用戶剪貼板的行為本質(zhì)上由用戶授權(quán)，但除了上述這兩種情況以外，還有一種讀取用戶剪貼板的情況，這類(lèi)行為也是我們最擔(dān)心的一種——“軟件在偷窺我們”。

“監(jiān)控”用戶能給開(kāi)發(fā)商帶來(lái)什么?

我們剛才介紹有講過(guò)，所謂“監(jiān)控剪貼板”，本質(zhì)上就是軟件在前臺(tái)或后臺(tái)、公開(kāi)或私下收集我們剪貼板內(nèi)的資料。有的人可能會(huì)想不就是看看我平時(shí)復(fù)制了什么嗎?有什么大不了的。但其實(shí)剪貼板能泄露的個(gè)人信息那是一點(diǎn)都不少。

往輕了說(shuō)，第三方App可以根據(jù)你復(fù)制的淘口令或產(chǎn)品名稱對(duì)你進(jìn)行精確推廣。比如社交平臺(tái)A讀取小明的剪貼板并獲得“米諾地耳”這個(gè)關(guān)鍵詞后，可以將“脫發(fā)”這個(gè)關(guān)鍵詞打在小明這個(gè)用戶身上。而且因小明注冊(cè)應(yīng)用a時(shí)綁定了自己手機(jī)號(hào)，因此與社交平臺(tái)A屬同一個(gè)母公司的電商軟件B、音樂(lè)軟件C都知道小明脫發(fā)，并會(huì)向這個(gè)手機(jī)號(hào)對(duì)應(yīng)的用戶推送脫發(fā)治療的廣告。

如果這個(gè)母公司有專門(mén)的廣告平臺(tái)，而小明工作時(shí)用到的第三方網(wǎng)站D使用了這個(gè)母公司的廣告插件，即使是在第三方網(wǎng)站D上面，小明也能看到治療脫發(fā)的廣告。

除此之外，監(jiān)控剪貼板還能起到用戶畫(huà)像的作用，這里再拿小明舉例。在看完剛才那一段話后，小明決定分別使用手機(jī)號(hào)1、2、3注冊(cè)社交平臺(tái)A、電商軟件B和音樂(lè)軟件C，并且在三個(gè)軟件中使用三個(gè)不同的人設(shè)，以此混淆母公司的視野。

但因?yàn)槟腹酒煜碌能浖纪ㄟ^(guò)偷窺用戶的剪貼板，發(fā)現(xiàn)這三個(gè)看似不同的用戶有著高度相同的興趣愛(ài)好：三個(gè)用戶都都喜歡搜索達(dá)爾優(yōu)鍵盤(pán)，都喜歡聽(tīng)某流量明星的歌，還都喜歡吃漢堡王，那母公司就會(huì)大膽猜測(cè)這三個(gè)用戶其實(shí)都是小明，并將三個(gè)賬戶的廣告關(guān)鍵詞進(jìn)行關(guān)聯(lián)。換句話說(shuō)，小明還是逃不掉電腦屏幕彈出脫發(fā)廣告的困境。

剪貼板帶來(lái)的安全隱患

這還不是最嚴(yán)重的情況，在個(gè)人信息泄露異常泛濫的現(xiàn)在，如果某些軟件如果有這個(gè)想法，只要持續(xù)“偷窺”剪貼板，很大幾率可以獲得你的姓名、身份證號(hào)、常用地址、工作信息。甚至連手機(jī)號(hào)碼、銀行卡號(hào)、信用卡有效期、短信驗(yàn)證碼、常用密碼等全套金融信息都有可能被不法分子掌握并打包出售。

不明白他們是怎么拿到常用密碼的?不妨先想想那個(gè)經(jīng)常復(fù)制粘貼的視頻網(wǎng)站會(huì)員密碼，是不是“碰巧”也是QQ、微信、微博甚至網(wǎng)銀的密碼?雖然微信不會(huì)讀取你的剪貼板，但你退出微信后打開(kāi)的其他軟件會(huì)不會(huì)呢?

沒(méi)人敢為你保證。

更何況在iOS引入了通用剪貼板的功能，借助iCloud，Mac、iPad和iPhone可以互相共享剪貼板內(nèi)容。換句話說(shuō)，只要某些惡意軟件有這個(gè)想法，你上班時(shí)在Mac上復(fù)制的內(nèi)容，iOS上的惡意軟件也能同樣獲取到。

我們能怎么辦?

說(shuō)實(shí)話，現(xiàn)階段我們能做的還真不多。出于防范的角度，我們可以將那些惡意讀取剪切板的軟件都刪掉，也可以通過(guò)第三方軟件清理剪切板，比如密碼管理軟件1Password就可以設(shè)定90秒都自動(dòng)清理剪貼板，實(shí)在不行也可以復(fù)制后重啟手機(jī)解決后患。剪貼板泄露個(gè)人隱私這個(gè)問(wèn)題也不僅出現(xiàn)在iPhone上，Windows和Android在剪貼板權(quán)限管理上更為混亂，也同樣有著信息泄露的隱患。

但就像我平時(shí)常說(shuō)的一樣，軟件暴露的是用戶的隱私風(fēng)險(xiǎn)，我們不應(yīng)斥責(zé)用戶不注意個(gè)人信息保護(hù)。相反的，我們應(yīng)該一起推動(dòng)業(yè)界發(fā)展，讓科技巨頭們正視這個(gè)問(wèn)題，也應(yīng)該用合適的手段向那些窺探用戶個(gè)人信息的廠商表達(dá)我們的態(tài)度。

個(gè)人隱私的保護(hù)是一場(chǎng)持久戰(zhàn)，引起重視、推動(dòng)改進(jìn)也不是一朝一夕就能完成的事。如果這種“偷窺”的風(fēng)氣不加以改正，即使數(shù)字巨頭們“修復(fù)”了這個(gè)“bug”，它們也會(huì)開(kāi)發(fā)出新的方式窺探用戶隱私。而在用戶隱私真正得到保護(hù)之前，我們能做的也只有讓更多的人明白隱私泄露的現(xiàn)況了。