这就是国产 App“偷窥”剪贴板的理由?

这就是国产 App“偷窥”剪贴板的理由?
2020年07月09日 23:20 科技狐

最近,国际版抖音又惹出事儿来了。

上周 iOS 14 推出以后,更新了几个新功能:当 App 调用麦克风、摄像头或剪贴板的时候,就会在界面弹出通知来提醒用户。

然后,就有用户发现,每次在 TikTok 上输入的时候,都会频繁跳出:

“ TikTok pasted from XX. ” Tiktok 正在从 XX 应用进行复制粘贴 )

这下好了,有用户因此发现,原来 TikTok 一直以来都在悄悄访问自己的剪贴板。

按照下面的这个弹出频率,可以看出它几乎是在以秒级的速度在读取我们的剪贴板。

要知道,TikTok 在海外的火爆程度简直超出你我的想象。

据 SensorTower 数据统计,截至今年 4 月 30 日,TikTok 的下载量就已经超过了 20 亿。

几乎已经成为了全球下载量最高的 App。

大多数用户都没有想到,这样一个在海外备受年轻人欢迎的 App,会这么高频率的读取我们的剪贴板。

于是大家一下子都炸开了。

目前这个关于 TikTok 读取剪贴板数据的视频, Youtube 播放了已经超过了 12 万。

有很多海外网友也表示,再也不想使用这些 App 了。

难道我们每天打的字儿,都被这些软件莫名其妙、悄悄咪咪地看了个遍,这还有隐私可言吗?

对此,TikTok 官方出来回应表示,会读取剪贴板的数据只是为了识别重复性的垃圾信息行为而触发的。

换句话说,就是现在刷评论的机器人太多了,我们访问剪贴板只是为了识别机器人的!

并且,目前已经删除了这个功能,大家可以放心,我们只是读取了数据,并没有记录和上传数据。

图片来源:Ars Technica

那到底是不是真的像他们说的那样,对于剪贴板数据,只是读取没有记录呢

实际上,这确实是成立的。

iOS 其实对于读取剪贴板行为一直以来都是允许的,也不需要用户授权

这事儿大家过去谁也没有放在心上,知道 iOS 14 里加了这个可以提醒的新功能,大家才发现原来还有这么一茬啊。

@Pingwest 品玩 针对国内 40 款主流 App 做了一个测试,发现其中只有 5 款软件不会自动获取用户剪贴板信息。

图片、数据来源:@PingWest 品玩

至于读取剪贴板有什么用?

其实就是为了方便 App 发出指令而已

因为一些众所周知的原因,阿里系和字节跳动系的软件,都是没有办法直接通过微信分享的。这个时候就要靠剪贴板来实现这个操作。

你想啊,当你在微信复制了一个淘宝链接,为什么一打开淘宝就能直接跳转页面?

那就是因为淘宝也读取了你的剪贴板,好方便打开朋友分享给你的链接。

所以读取剪贴板数据这件事,对于某些 App 来说其实是很合理的。

用户们对国际抖音的愤怒也是因为不理解,为什么抖音、新闻这种类型的 App 也需要这个数据。况且,几乎每秒访问一次的速度也太过分了些。

不过好在,有国外的研究人员表示,确实现在还没有发现这些 App 私自把剪贴板数据传回服务器,都仅限于本地读取

像是淘宝、浏览器和快递类的应用,在识别剪贴板内容之后,都会询问用户确认以后,才会上传服务器。

为什么用户这么敏感,不就是因为我们生活在互联网时代,几乎已经被处处可泄露隐私的不安全感搞得风声鹤唳了吗?

我们的剪贴板里可能存在的敏感信息有很多,狐妹看了一眼自己的剪贴板。

除了淘宝链接、快递单号以外,还有身份证号、家庭住址还有朋友的电话号码等敏感信息

尽管国际版抖音声明了,他们确实只是单纯的读取数据,并没有上传至服务器。

但,这真的能代表没有风险存在了吗?

就在上个月,一条 “ App 偷窥用户隐私访问照片 25000 次 ” 的新闻引发了热议。

除了一些野鸡 App 以外,频繁自启和访问用户隐私的甚至还有腾讯家的 TIM……

相关工程师表示,这些频繁收集用户隐私信息的 App,其实是为了实现精准营销。

大家应该都有这种体验吧。昨儿下午跟朋友说想买个瑜伽垫,打开购物软件以后,神奇的事发生了。

从来没有看过瑜伽垫的你,在 “ 猜你喜欢 ” 那栏,它出现了。

而 App 收集到你更多的数据,就能更好地刻画你的画像,从而给你投放更为精准的广告。

那问题就出现了,既然读取剪贴板数据这种行为不需要授权,那谁又能保证所有的 App 都能老老实实地闭着眼睛,只进行本地的复制粘贴呢。

图片来源:新浪微博用户 @狗 - 薛定谔 - 德川家康

如果出现了恶意抓取剪贴板信息、并收集用户信息的 App,普通的用户根本就没有办法发现。

其实读取剪贴板这个行为,本意是用来提升用户体验的

比如短信验证码来的时候可以进行自动复制;复制快递单号可以自动查询;打开浏览器也可以进行自动跳转网页。

但这一切的前提,都应该建立在用户知情和允许的条件下。

更可况,利用剪贴板漏洞而盈利的事件,其实早就发生了。

前两年就有用户反映,搜狗输入法的剪贴板里经常出现未知的淘口令。

图片来源:百度贴吧 搜狗输入法

单单只是淘口令也就罢了,下面至少还有一个 “ 这不是我复制的淘口令 ” 的选项。

但是对于支付宝前两年搞的一个 “ 吱口令 ” 的活动来说,只要点进去,就会自动领取红包。

而在红包被使用以后,就能让 “ 吱口令 ” 原主人获得一定的佣金。

很明显,这就是某些人为了赚取佣金而动了歪心思,利用剪贴板的这个漏洞,通过网页 API 往里面填充未知的内容。

这样用户什么都不用做,只要打开支付宝,就能自动打开未知的口令。

过程既简单又高效。

那 App 未经允许就读取、使用剪贴板里的数据到底合法吗?

其实目前为止并没有一个严格的红线用来判断读取的界限以及是否合法,但如果真的发现 App 私自收集并上传用户数据,是可以向网信部门举报的。

狐妹觉得,尽管一部分 App 读取和使用剪贴板数据,确实是为了进一步提升用户的体验。

但我们谁也无法保证,是不是会有人往这上面打歪主意。

还是那句话,透明和公开、以及取得用户同意,才是一切服务的根本

透明我们才能用得更放心啊

财经自媒体联盟更多自媒体作者

新浪首页 语音播报 相关新闻 返回顶部