30秒速读1.苹果iOS14正式版还未发布,让国内外App开发者不淡定,主要是因为iOS14加入了安全提醒功能。应用程序读取剪贴板后,iPhone顶部会出现一条通知:“应用程序A从应用程序B复制”。Apple的更新是让用户知道哪些应用程序可能正在跟踪他们的信息。2、那么,剪贴板会在多大程度上泄露个人信息?什么情况下微信最多?《IT时报》记者对50款APP的苹果版和安卓版进行了测试,结果出乎意料。给我你的电话号码和送货地址。可以借给我你的视频会员账号和密码吗?钱转到哪张卡,发卡行和身份证号也会同时发给我。交换这些隐私信息后,往往伴随着复制粘贴的动作。你有数过每天在手机上复制粘贴多少次吗?没想到这个习惯性的动作,竟然悄悄泄露了我们的隐私。苹果iOS14在国外掀起隐私保护风暴。据外媒报道,部分用户升级到iOS14后,系统不断提示字节跳动的短视频应用TikTok正在获取剪贴板。同时,谷歌浏览器、新闻应用CNN、谷歌新闻和星巴克都被网友发现在使用iOS14时,会读取用户的剪贴板。对此,TikTok相关负责人表示,已向AppStore提交更新版本,功能将下线,以消除疑惑。接入剪贴板的目的是为了打击部分用户反复刷无意义的垃圾评论和恶意评论的现象。他还强调,该功能不会访问用户剪贴板的任何内容。那么,国内主流应用在苹果新系统下会无处遁形吗?01测试了50款主流APP,只有9款没有主动读取剪贴板其他领域,结果显示只有9款APP没有触发复制剪贴板的提醒,分别是微信、国美、亚马逊中国、知乎、同花顺、美团外卖、叮咚买菜、携程和滴滴出行。制图:IT时报冯成杰也就是说,当你在iPhone上复制粘贴任何一个应用程序,当你打开其他41个应用程序时,它们可能会在第一时间被它们读取,但用户并不知道。可怕的是,在iOS14版本之前,用户并不知道这种行为,苹果也默认了这种行为。那么,苹果会自动识别敏感信息并帮助用户拦截吗?《IT时报》记者一次性复制了iPhone附带的备忘录中的一段相关信息,包括姓名、电话号码、家庭住址、身份证号码等敏感信息,并粘贴在备忘录中。然而,当记者一一打开这50款应用时,仍然出现“某个应用是从备忘录中复制过来的”安全提示。经过反复测试,发现和上面的测试结果一样,82%的app都会读取剪贴板。“苹果在iOS14之前没有提供剪贴板内容的安全提醒和过滤功能,在iOS14正式版发布之前是否会进行过滤还不清楚。”某企业安全服务商指出,“只要是用户复制粘贴的信息,App几乎都是可以读取的,比如文字、图片、文件的基本信息等。”对于APP来说,剪贴板是一个很好的工具,比如淘宝和抖音的链接被微信拒绝后,使用密码,二维码等形式实现跳转。抖音和淘宝会先识别,而有自己特殊标识的会上传云端匹配相关视频或商品,并将结果返回给用户,如果没有对应的结果,用户是不会察觉到这种行为的。02二次贴是最大的风险》二次贴民间互联网安全组织网剑创始人屈子龙指出,剪贴板最大的潜在风险并不是第一次复制粘贴。在日常生活中,复制粘贴的内容大多是为了第一次是为了方便用户向App提供信息,真正的风险是用户将内容复制粘贴到A应用后,复制的内容没有被回收,当B应用时内容仍然可用应用被打开。被获取,导致敏感信息泄露的风险。值得一提的是,上述测试结果是在双贴测试环境下得到的。记者先在备忘录App中完成了复制和粘贴两个动作,然后打开50个App查看是否有安全提示。同时,《IT时报》记者进行了多次粘贴测试发现,在运行iOS14测试版的iPhone上,基本上跨应用粘贴20次后,复制的内容就会失效,无法再次粘贴。但是每次的次数都略有不同,由此推测可能与时间有关。每隔一段时间,iPhone就会清除剪贴板。银行应用程序在恢复敏感信息方面做得更好。当你复制粘贴银行卡账号,然后登录银行APP时,很多银行都会出现提示:“是否需要向银行卡(账号)转账?”包括工商银行、招商银行、邮储银行、浦发银行、上海银行等都有这个功能。幸运的是,当你在一家银行完成注销或转账操作后,再登录其他银行APP就不会再出现这个提示了。03小米在iOS14的掩护下偷拍安卓应用,小米MIUI12系统升级了隐私保护功能。这个功能比iOS14的提醒更到位,被手机圈认为是流氓软件的克星。只要App检索到用户的个人信息,小米就会提醒该功能,同时返回“空白通行证”,一定程度上解决了“未经允许不得使用”的问题。因此,记者《IT时报》对上述50款使用小米隐私功能的APP安卓版进行测试,只有11款APP没有主动读取剪贴板,分别是微信、国美、亚马逊中国、知乎、微众银行、饿了么、美团外卖、叮咚买菜、58到家、携程和滴滴出行。不主动阅读的安卓应用略多于苹果应用,并不代表安卓比苹果更安全,因为阅读的数量是触目惊心的。一些Android应用程序甚至在两分钟内读取剪贴板20次。从苹果和安卓的对比测试可以看出,读取用户的剪贴板在国内是一个非常普遍的行为。“这要看是否存在实际侵权,以及APP读取剪贴板后是否会上传并保存用户的个人信息。”曲子龙说道。这相当于构成收集个人信息的行为。那么如何界定是否侵权呢?根据《App违法违规收集使用个人信息行为认定方法》第三条第1点,未经用户同意而收集个人信息的,可视为“未经用户同意收集、使用个人信息”;第四条第1、3点指出,所收集个人信息的信息类型与现有业务功能无关,且收集个人信息的频率超过业务功能实际需要的,可认定为“违反必要性原则”。Apple的剪贴板一直被认为比Android的更安全。因为在iPhone上,当你复制一段新的内容时,会直接覆盖之前复制的内容。不过安卓手机会在剪贴板上保留更多的内容,所以你经常可以在输入法等地方查看剪贴板的历史记录。近期,安卓手机厂商也开始意识到剪贴板的信息安全。很多安卓手机厂商都推出了几秒清空剪贴板的功能。由此可见,国内手机厂商率先净化了过度请求信息的APP生态。苹果这次更新的目的不仅仅是提醒用户关注我的人也是在警告开发者。中国APP出海除了关注国内日益严格的个人信息收集和使用法律法规外,还需要关注用户隐私保护。继2018年欧盟出台了史上最严的隐私法规《通用数据保护条例》(GDPR)后,美国今年也出台了非常严格的《加利福尼亚州消费者隐私法案》(CCPA)。今年2月,两名国外iOS开发者发出警告称,由于苹果和安卓手机存在漏洞,导致数十款主流应用经常访问剪贴板内容。虽然这危害不大,但可能会被黑客利用。那么,剪贴板在什么情况下容易造成信息泄露,存在被黑客或流氓应用滥用的危险呢?多位白帽子和安全专家向《IT时报》记者指出,在苹果手机上一次性复制粘贴账号+密码、姓名+身份证号+家庭住址+手机号等相关组合信息,或复制并且在安卓手机上一次性粘贴相关组合信息或者连续复制形成关联信息,对于“偷看”的应用来说是有价值的。如果只是一个密码,那么应用得到的只是一堆无意义的字符串。另外手机没有越狱,app是通过官方渠道安装的,不用太担心。
