自2008年以來,每年WWDC上蘋果都會為我們帶來新IOS的信息。但不知道為什么,有些功能蘋果總是喜歡掖著藏著,頗有“我做了,但我不說”的意味。比如在前段時間的WWDC 20上,蘋果蘋果發布了一系列iOS與iPadOS的新功能,針對個人隱私方面也做出了不少改進。
不過除了WWDC 20發布會上講到的內容外,蘋果還悄悄加入了一個新的功能:在iOS 14與iPadOS 14中,軟件讀取剪貼板的行為會被專門標記出來了。
在微博和知乎上,不少用戶都反映說升級iOS 14后打開應用有一定幾率會彈出“從剪貼板”的提示,比如“微博 pasted from 知乎”或這樣,更有用戶反映說“我手上的國內軟件22個只有三個沒獲取”。這一提示也激起了大家對個人隱私的討論,不少用戶開始擔心這些軟件擅自讀取自己的剪貼板,背地里究竟還有哪些自己不知道的小動作。
為什么軟件要監控剪貼板
先說說軟件為什么要“監控”用戶的剪貼板吧:本質上,應用監控剪貼板是為了獲取剪貼板內的內容,比如你從微信里復制了一句話,并粘貼到微博里,這里微博就獲取了你的剪貼板。
我知道這句話看起來就像灌水自媒體的車轱轆話,但這也為我們帶出了下一個問題:應用程序為什么要看我的剪貼板呢?或者換個說法,應用程序拿到我的剪貼板內容后要去做什么呢?
單就蘋果手機生態而言,應用程序獲取剪貼板的目的通常可以分為“功能”、“跳轉”與“信息”這三個大類。
這里的功能指的是某些應用程序在實現特定操作的流程必須使用剪貼板,比如在Pin中,軟件的分詞功能就是通過獲取用戶剪貼板內容并調用分詞算法來實現的。同樣的,一些“劃詞翻譯”的第三方軟件也是通過讀取用戶剪貼板的方式獲取用戶復制的單詞,從而減少用戶操作,提高整體效率。
至于跳轉功能,想必大家應該非常熟悉了,“fu植這行話”這種淘口令想必大家都有見過。由于互聯網巨頭間的“相互斗法”,淘寶的商品鏈接無法通過常見的分享功能發送到微信中,相關的敏感詞比如“復制這行話”也會被微信識別出來。
迫于無奈,淘寶開發了“淘口令”這種“不是正常人可以打出來”的商品鏈接,用戶只要復制淘口令并打開淘寶,通過后臺掃描用戶的剪貼板,淘寶就能自動抓取并解碼出正確的商品鏈接。
上述兩種情況在我看來還算可以理解,因為他們讀取用戶剪貼板的行為本質上由用戶授權,但除了上述這兩種情況以外,還有一種讀取用戶剪貼板的情況,這類行為也是我們最擔心的一種——“軟件在偷窺我們”。
“監控”用戶能給開發商帶來什么?
我們剛才介紹有講過,所謂“監控剪貼板”,本質上就是軟件在前臺或后臺、公開或私下收集我們剪貼板內的資料。有的人可能會想不就是看看我平時復制了什么嗎?有什么大不了的。但其實剪貼板能泄露的個人信息那是一點都不少。
往輕了說,第三方App可以根據你復制的淘口令或產品名稱對你進行精確推廣。比如社交平臺A讀取小明的剪貼板并獲得“米諾地耳”這個關鍵詞后,可以將“脫發”這個關鍵詞打在小明這個用戶身上。而且因小明注冊應用a時綁定了自己手機號,因此與社交平臺A屬同一個母公司的電商軟件B、音樂軟件C都知道小明脫發,并會向這個手機號對應的用戶推送脫發治療的廣告。
如果這個母公司有專門的廣告平臺,而小明工作時用到的第三方網站D使用了這個母公司的廣告插件,即使是在第三方網站D上面,小明也能看到治療脫發的廣告。
除此之外,監控剪貼板還能起到用戶畫像的作用,這里再拿小明舉例。在看完剛才那一段話后,小明決定分別使用手機號1、2、3注冊社交平臺A、電商軟件B和音樂軟件C,并且在三個軟件中使用三個不同的人設,以此混淆母公司的視野。
但因為母公司旗下的軟件都通過偷窺用戶的剪貼板,發現這三個看似不同的用戶有著高度相同的興趣愛好:三個用戶都都喜歡搜索達爾優鍵盤,都喜歡聽某流量明星的歌,還都喜歡吃漢堡王,那母公司就會大膽猜測這三個用戶其實都是小明,并將三個賬戶的廣告關鍵詞進行關聯。換句話說,小明還是逃不掉電腦屏幕彈出脫發廣告的困境。
剪貼板帶來的安全隱患
這還不是最嚴重的情況,在個人信息泄露異常泛濫的現在,如果某些軟件如果有這個想法,只要持續“偷窺”剪貼板,很大幾率可以獲得你的姓名、身份證號、常用地址、工作信息。甚至連手機號碼、銀行卡號、信用卡有效期、短信驗證碼、常用密碼等全套金融信息都有可能被不法分子掌握并打包出售。
不明白他們是怎么拿到常用密碼的?不妨先想想那個經常復制粘貼的視頻網站會員密碼,是不是“碰巧”也是QQ、微信、微博甚至網銀的密碼?雖然微信不會讀取你的剪貼板,但你退出微信后打開的其他軟件會不會呢?
沒人敢為你保證。
更何況在iOS引入了通用剪貼板的功能,借助iCloud,mac、iPad和iphone可以互相共享剪貼板內容。換句話說,只要某些惡意軟件有這個想法,你上班時在Mac上復制的內容,iOS上的惡意軟件也能同樣獲取到。
我們能怎么辦?
說實話,現階段我們能做的還真不多。出于防范的角度,我們可以將那些惡意讀取剪切板的軟件都刪掉,也可以通過第三方軟件清理剪切板,比如密碼管理軟件1Password就可以設定90秒都自動清理剪貼板,實在不行也可以復制后重啟手機解決后患。剪貼板泄露個人隱私這個問題也不僅出現在iPhone上,windows和Android在剪貼板權限管理上更為混亂,也同樣有著信息泄露的隱患。
但就像我平時常說的一樣,軟件暴露的是用戶的隱私風險,我們不應斥責用戶不注意個人信息保護。相反的,我們應該一起推動業界發展,讓科技巨頭們正視這個問題,也應該用合適的手段向那些窺探用戶個人信息的廠商表達我們的態度。
個人隱私的保護是一場持久戰,引起重視、推動改進也不是一朝一夕就能完成的事。如果這種“偷窺”的風氣不加以改正,即使數字巨頭們“修復”了這個“bug”,它們也會開發出新的方式窺探用戶隱私。而在用戶隱私真正得到保護之前,我們能做的也只有讓更多的人明白隱私泄露的現況了。
