当地时间6月7日,苹果召开全球开发者大会(WWDC22),会上发布了全新操作系统iOS 16,扩展了隐私功能。继麦克风、摄像头和定位等敏感权限之后,新版本会在App访问剪贴板之前,弹窗征求用户的明确授权。
剪贴板弹窗征求用户的明确授权
南都记者梳理发现,苹果在近几次新系统发布中都对剪贴板的隐私保护功能做出更新。不过,苹果并不是第一家启用剪贴板授权弹窗的手机厂商——早在2020年,小米MIUI12.5就上线了类似功能。
文|雨祺 玉文 蒋琳
苹果新系统增加剪贴板授权弹窗
当地时间6月7日,苹果召开全球开发者大会(WWDC22),发布了全新操作系统iOS 16、iPadOS 16,并向开发人员提供了对应的预览版Beta更新。
南都记者注意到,新的操作系统要求App在访问剪贴板之前,必须征得用户的明示同意。这意味着,除了定位、通讯录、照相机、麦克风、传感器外,剪贴板也被纳入敏感权限的范畴。
苹果官网对iOS16的预告,在“隐私”一栏中对剪贴板访问的说明见右
事实上,通过苹果开发者网站下载iOS 16的预览版Beta,已经可以看到这项针对剪贴板的新功能。
根据网友troyl在技术社区V2EX中展示的截图,他以苹果自带软件Books和淘宝实测,在淘宝的页面会显示系统弹窗,询问用户是否同意粘贴剪贴板内容,并显示来源于哪个App。
网友troyl用预览版Beta实测剪贴板弹窗。图自V2EX社区
据troyl测试,如果淘宝本就在后台运行,那么只有第一次访问剪贴板时会弹窗;如果用户拒绝,只要不关闭淘宝,就不会重复弹窗,除非剪贴板内容有变更。如果关闭淘宝后重新打开,即使是同样的剪贴板内容,系统仍然会弹窗。
也就是说,在App被彻底关闭之前,系统会记住用户的选择,不会频繁弹窗。不过,即使如果用户在弹窗中拒绝App访问剪贴板,也不影响用户在同一App内的主动复制粘贴行为——这种情况下,系统不会弹窗。
南都记者梳理发现,剪贴板相关功能的更新在苹果最近几次新系统发布中都有涉及。在2020年更新的iOS 14系统中,苹果加入了剪贴板弹窗提示,让用户明确知道哪些App在访问剪贴板;一年后的iOS 15,苹果开发了“安全粘贴”功能,让App开发者无法“完全”看到剪贴板中的内容。
6月7日,苹果CEO Tim Cook在Time100峰会上评论称,在当今世界缓慢丧失隐私将会迫使人们在适应新常态的过程中改变行为模式。他反复强调,在特定环境下放弃一些针对性极强的隐私是有益的,但他最终认为人们应当享有自己数据的所有权,并且要有能力保持隐私。
App任意访问剪贴板可能造成隐私泄露
事实上,苹果并不是第一家启用剪贴板授权弹窗的手机厂商。
2020年12月,小米MIUI升级到了12.5版本,其中加入了剪贴板隐私保护功能。和iOS 16新增的功能一样,App在读取剪贴板时,系统会弹窗获取用户授权,用户可以选择允许或拒绝,也可以选择拒绝并清空剪贴板。
小米MIUI12.5的剪贴板授权弹窗
南都记者注意到,此前,剪贴板就曾因被App频繁访问引发国内外对于隐私泄露的担忧。
2020年6月,iOS 14新增剪贴板弹窗提示。有TikTok用户发现,系统不断提醒他们TikTok每隔几秒便会访问剪贴板,他们据此认为TikTok在“窃取”剪贴板上的信息。对此,TikTok回应称是为打击垃圾评论、恶意刷评论,不会读取剪贴板内容,并立即停止了该功能。
当时,网友实测发现,频繁访问剪贴板的现象在国内外众多应用中普遍存在,国外App如Starbucks、Google News、CNN、纽约时报,国内App如QQ、微博、网易云音乐、淘宝等。
中国电子技术标准化信息安全中心测评实验室副主任何延哲曾对南都记者表示,如果App仅仅是读剪切板的内容,严格意义上不能算作是收集个人信息。只有在App私自把剪切板的信息识别出来并上传后台的情况下,才能算作是“未经同意收集个人信息”。
为什么这么多App都要求访问手机的剪贴板?他们一般用这个功能做什么?
多位专家告诉南都记者,除了打击垃圾评论、恶意刷评论,App也需要借助剪贴板去识别一些指令。尤其在不同互联网企业旗下App无法直接跳转的情况之下,剪贴板成了改善用户体验的一个很重要的通道。
比如在微信里复制一个口令,打开淘宝、抖音时,就能自动跳转到对应的页面。剪贴板也能读取并复制验证短信的内容,在输入法候选区自动出现数字,免去了用户打开短信应用以及来回切换App的烦恼。
不过,由于剪贴板内容可能包含身份证号、短信验证码、银行账号等敏感个人信息,它的泄露风险不能忽视。
2022年3月,央视曝光了部分浏览器App从剪贴板读取用户信息的行为。技术人员测试发现,把模拟的银行账号密码复制进剪贴板后,也能在浏览器调用的一段程序中读取到,并且整个过程是明文提取,并没有做加密处理。
央视曝光部分手机浏览器App从剪贴板读取用户信息
声明:本文来自隐私护卫队,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。