iPhone的這項新功能,讓流氓軟體無處可逃!
自2008年以來,每年WWDC上蘋果都會為我們帶來新iOS的信息。但不知道為什麼,有些功能蘋果總是喜歡掖著藏著,頗有「我做了,但我不說」的意味。比如在前段時間的WWDC 20上,蘋果蘋果發布了一系列iOS與iPadOS的新功能,針對個人隱私方面也做出了不少改進。
不過除了WWDC 20發布會上講到的內容外,蘋果還悄悄加入了一個新的功能:在iOS 14與iPadOS 14中,軟體讀取剪貼板的行為會被專門標記出來了。
在微博和知乎上,不少用戶都反映說升級iOS 14後打開應用有一定幾率會彈出「從剪貼板」的提示,比如「微博 pasted from 知乎」或這樣,更有用戶反映說「我手上的國內軟體22個只有三個沒獲取」。這一提示也激起了大家對個人隱私的討論,不少用戶開始擔心這些軟體擅自讀取自己的剪貼板,背地裡究竟還有哪些自己不知道的小動作。
為什麼軟體要監控剪貼板
先說說軟體為什麼要「監控」用戶的剪貼板吧:本質上,應用監控剪貼板是為了獲取剪貼板內的內容,比如你從微信里複製了一句話,並粘貼到微博里,這裡微博就獲取了你的剪貼板。
我知道這句話看起來就像灌水自媒體的車軲轆話,但這也為我們帶出了下一個問題:應用程序為什麼要看我的剪貼板呢?或者換個說法,應用程序拿到我的剪貼板內容後要去做什麼呢?
單就蘋果手機生態而言,應用程序獲取剪貼板的目的通常可以分為「功能」、「跳轉」與「信息」這三個大類。
這裡的功能指的是某些應用程序在實現特定操作的流程必須使用剪貼板,比如在Pin中,軟體的分詞功能就是通過獲取用戶剪貼板內容並調用分詞演算法來實現的。同樣的,一些「劃詞翻譯」的第三方軟體也是通過讀取用戶剪貼板的方式獲取用戶複製的單詞,從而減少用戶操作,提高整體效率。
至於跳轉功能,想必大家應該非常熟悉了,「fu植這行話」這種淘口令想必大家都有見過。由於互聯網巨頭間的「相互鬥法」,淘寶的商品鏈接無法通過常見的分享功能發送到微信中,相關的敏感詞比如「複製這行話」也會被微信識別出來。
迫於無奈,淘寶開發了「淘口令」這種「不是正常人可以打出來」的商品鏈接,用戶只要複製淘口令並打開淘寶,通過後台掃描用戶的剪貼板,淘寶就能自動抓取並解碼出正確的商品鏈接。
上述兩種情況在我看來還算可以理解,因為他們讀取用戶剪貼板的行為本質上由用戶授權,但除了上述這兩種情況以外,還有一種讀取用戶剪貼板的情況,這類行為也是我們最擔心的一種——「軟體在偷窺我們」。
「監控」用戶能給開發商帶來什麼?
我們剛才介紹有講過,所謂「監控剪貼板」,本質上就是軟體在前台或後台、公開或私下收集我們剪貼板內的資料。有的人可能會想不就是看看我平時複製了什麼嗎?有什麼大不了的。但其實剪貼板能泄露的個人信息那是一點都不少。
往輕了說,第三方App可以根據你複製的淘口令或產品名稱對你進行精確推廣。比如社交平台A讀取小明的剪貼板並獲得「米諾地耳」這個關鍵詞後,可以將「脫髮」這個關鍵詞打在小明這個用戶身上。而且因小明註冊應用a時綁定了自己手機號,因此與社交平台A屬同一個母公司的電商軟體B、音樂軟體C都知道小明脫髮,並會向這個手機號對應的用戶推送脫髮治療的廣告。
如果這個母公司有專門的廣告平台,而小明工作時用到的第三方網站D使用了這個母公司的廣告插件,即使是在第三方網站D上面,小明也能看到治療脫髮的廣告。
除此之外,監控剪貼板還能起到用戶畫像的作用,這裡再拿小明舉例。在看完剛才那一段話後,小明決定分別使用手機號1、2、3註冊社交平台A、電商軟體B和音樂軟體C,並且在三個軟體中使用三個不同的人設,以此混淆母公司的視野。
但因為母公司旗下的軟體都通過偷窺用戶的剪貼板,發現這三個看似不同的用戶有著高度相同的興趣愛好:三個用戶都都喜歡搜索達爾優鍵盤,都喜歡聽某流量明星的歌,還都喜歡吃漢堡王,那母公司就會大膽猜測這三個用戶其實都是小明,並將三個賬戶的廣告關鍵詞進行關聯。換句話說,小明還是逃不掉電腦屏幕彈出脫髮廣告的困境。
剪貼板帶來的安全隱患
這還不是最嚴重的情況,在個人信息泄露異常泛濫的現在,如果某些軟體如果有這個想法,只要持續「偷窺」剪貼板,很大幾率可以獲得你的姓名、身份證號、常用地址、工作信息。甚至連手機號碼、銀行卡號、信用卡有效期、簡訊驗證碼、常用密碼等全套金融信息都有可能被不法分子掌握並打包出售。
不明白他們是怎麼拿到常用密碼的?不妨先想想那個經常複製粘貼的視頻網站會員密碼,是不是「碰巧」也是QQ、微信、微博甚至網銀的密碼?雖然微信不會讀取你的剪貼板,但你退出微信後打開的其他軟體會不會呢?
沒人敢為你保證。
更何況在iOS引入了通用剪貼板的功能,藉助iCloud,Mac、iPad和iPhone可以互相共享剪貼板內容。換句話說,只要某些惡意軟體有這個想法,你上班時在Mac上複製的內容,iOS上的惡意軟體也能同樣獲取到。
我們能怎麼辦?
說實話,現階段我們能做的還真不多。出於防範的角度,我們可以將那些惡意讀取剪切板的軟體都刪掉,也可以通過第三方軟體清理剪切板,比如密碼管理軟體1Password就可以設定90秒都自動清理剪貼板,實在不行也可以複製後重啟手機解決後患。剪貼板泄露個人隱私這個問題也不僅出現在iPhone上,Windows和Android在剪貼板許可權管理上更為混亂,也同樣有著信息泄露的隱患。
但就像我平時常說的一樣,軟體暴露的是用戶的隱私風險,我們不應斥責用戶不注意個人信息保護。相反的,我們應該一起推動業界發展,讓科技巨頭們正視這個問題,也應該用合適的手段向那些窺探用戶個人信息的廠商表達我們的態度。
個人隱私的保護是一場持久戰,引起重視、推動改進也不是一朝一夕就能完成的事。如果這種「偷窺」的風氣不加以改正,即使數字巨頭們「修復」了這個「bug」,它們也會開發出新的方式窺探用戶隱私。而在用戶隱私真正得到保護之前,我們能做的也只有讓更多的人明白隱私泄露的現況了。
