盡管前幾天剛剛發(fā)布的 iOS 14 目前還處于第一個(gè) Beta 版,但無(wú)數(shù)的蘋(píng)果用戶已經(jīng)按捺不住自己激流勇進(jìn)的心情,紛紛下載描述文件安裝了起來(lái)直升 iOS 14。
就像 MIUI 12 的更新揪出了不少不守規(guī)矩的牛鬼蛇神,這次 iOS 14 在隱私方面的加強(qiáng),也引發(fā)了新一輪的 App 隱私危機(jī),而這次出問(wèn)題的是 —— 剪貼板。
▲ 圖片來(lái)自:9to5Mac
很多已經(jīng)升級(jí)到 iOS 14 Beta 版嘗鮮的用戶發(fā)現(xiàn),他們發(fā)現(xiàn)許多應(yīng)用會(huì)不停地讀取剪貼板的內(nèi)容,這正是 iOS 14 新增的隱私提醒功能,當(dāng)應(yīng)用讀取剪貼板的時(shí)候,會(huì)在應(yīng)用頂部顯示 XXX Pasted From XXX 的橫幅提示。
讓人心生疑惑的不只是國(guó)內(nèi),根據(jù)相關(guān)報(bào)道,安全研究員 Tommy Mysk 在與 Ars 的訪談之中曾表明,他在 3 月份就發(fā)現(xiàn)了 53 個(gè)會(huì)偷偷讀取剪貼板的應(yīng)用,其中不乏 Fox News、紐約時(shí)報(bào)、微博、抖音等熱門應(yīng)用。
▲ 圖片來(lái)自:Getty Images
其中海外版抖音,也就是熱門應(yīng)用 TikTok 可以說(shuō)是本次隱私事件的導(dǎo)火索,最先被發(fā)現(xiàn)頻繁讀取剪貼板的情況,而且是每隔幾秒種就會(huì)讀取的頻繁操作,影響巨大。
對(duì)于用戶數(shù)據(jù)來(lái)說(shuō),剪貼板像是一個(gè)快遞中轉(zhuǎn)站,而不同的應(yīng)用則是快遞兩端不同的地址。當(dāng)用戶需要復(fù)制和粘貼的時(shí)候,用戶數(shù)據(jù)會(huì)從一個(gè)應(yīng)用中由系統(tǒng)導(dǎo)入到剪貼板中,就像快遞被發(fā)送到快遞點(diǎn),而在另一個(gè)應(yīng)用中復(fù)制時(shí),數(shù)據(jù)再?gòu)募糍N板導(dǎo)入到其它應(yīng)用,就像快遞被派送到一個(gè)新的地址。
讀取剪貼板,其實(shí)就像你的快遞被別人查看甚至是取走一樣,盡管數(shù)據(jù)可以復(fù)制,但任何一個(gè)人也不可能讓自己的快遞任人查看,因?yàn)槠渲泻芸赡苡兄罅康碾[私的內(nèi)容。
▲ 圖片來(lái)自:
不過(guò)在「互聯(lián)網(wǎng)時(shí)代無(wú)隱私」這個(gè)大環(huán)境下,這個(gè)可以「用便利換隱私」的時(shí)代下,大公司們總能有合理的說(shuō)法去讀取用戶的隱私,自然也包括剪貼板。
比如上面的 TikTok 在回復(fù)財(cái)新記者的時(shí)候的說(shuō)法就是為了「打擊垃圾評(píng)論和惡意刷評(píng)論」,通過(guò)剪貼板內(nèi)容能夠得知用戶是不是復(fù)制了一些「祖安用語(yǔ)」,或者不適宜出現(xiàn)在該平臺(tái)的言論,從而對(duì)其進(jìn)行刪除乃至一系列的后續(xù)操作。
乍聽(tīng)起來(lái)似乎合情合理,但通常少有為實(shí)現(xiàn)這種小功能去頻繁讀取剪貼板的做法,即便不通過(guò)這種形式,要想打擊垃圾評(píng)論也有很多種辦法。
所以 TikTok 很快給 App Store 提交了一個(gè)新版本,表示已經(jīng)下線了該功能來(lái)避免質(zhì)疑,果然這個(gè)版本就沒(méi)有再出現(xiàn)頻繁讀取剪貼板的情況了。
▲ 圖片來(lái)自:
那么如果一個(gè)軟件出現(xiàn)類似 TikTok 這種情況,比如新浪微博、紐約時(shí)報(bào)等等,是否能實(shí)錘其窺探用戶隱私呢?我想這個(gè)打擊范圍就有點(diǎn)太大了。就像上面所說(shuō),大公司都有將其合理化的說(shuō)辭,很難有證據(jù)證明其收集用戶隱私。
另外該功能本身也并不完善,比如通過(guò)一個(gè)應(yīng)用跳轉(zhuǎn)到另一個(gè)應(yīng)用的時(shí)候也會(huì)出現(xiàn)讀取剪貼板的行為,只不過(guò)可能不像 TikTok 那樣頻繁讀取。
不少 Android 用戶可能會(huì)羨慕 iOS 14 新增了這樣的功能,目前在原生的 Android 版本中是沒(méi)有獨(dú)立剪貼板權(quán)限控制的,不過(guò)鑒于國(guó)產(chǎn)定制系統(tǒng)做了大量的魔改,所以不同的系統(tǒng)可能也會(huì)有不同的設(shè)計(jì)。
▲ MIUI 12 的剪貼板權(quán)限控制
據(jù)我目前的個(gè)人感受來(lái)看,MIUI 12 是 Android 陣營(yíng)中對(duì)于權(quán)限控制做的最好的,大多數(shù)關(guān)于隱私和權(quán)限的問(wèn)題在 MIUI 12 的發(fā)布會(huì)上都有詳細(xì)的介紹。而且關(guān)于今天我們說(shuō)的剪貼板,在 MIUI 12 中對(duì)單獨(dú)的應(yīng)用是有完全控制的權(quán)利的。
此外對(duì)于 MIUI 12 新增加的「照明彈」幾乎能記錄所有的應(yīng)用權(quán)限動(dòng)作,其中也包括剪貼板,只是無(wú)法區(qū)分讀取和寫(xiě)入動(dòng)作。根據(jù)用戶自身的需求,可以將剪貼板權(quán)限設(shè)置拒絕、僅在使用中允許和始終允許三種。
其它的國(guó)產(chǎn)系統(tǒng)對(duì)于這方面似乎就稍弱一些,比如 OPPO ColorOS 7 中雖然對(duì)個(gè)人隱私保護(hù)與權(quán)限設(shè)置的提升也不小,比如返回一定的空信息等,但并沒(méi)有剪貼板相關(guān)的設(shè)置。華為的 EMUI 10 中目前也沒(méi)有看到對(duì)剪貼板單獨(dú)控制的選項(xiàng)。
▲ 圖片來(lái)自:
其實(shí) Google 在之前就意識(shí)到了 Android 關(guān)于剪貼板權(quán)限的風(fēng)險(xiǎn),所以在 Android Q,也就是目前的 Android 10 中已經(jīng)做出了收緊和限制。
在 Android 10 中,只有前臺(tái)應(yīng)用和默認(rèn)輸入法才能讀取剪貼板的數(shù)據(jù),而后臺(tái)應(yīng)用則不能運(yùn)行偷偷讀取剪貼板。老牌的剪貼板增強(qiáng)應(yīng)用 Cliper 在去年 Android Q Beta 推出的時(shí)候宣布了關(guān)閉內(nèi)容同步服務(wù),對(duì)于第三方軟件來(lái)說(shuō)確實(shí)形成了比較強(qiáng)力的管控。
不過(guò)在 Android 系統(tǒng)發(fā)展的歷程中一直在經(jīng)歷「道高一尺魔高一丈」的情況,比如應(yīng)用為了后臺(tái)保活用盡手段,甚至利用系統(tǒng)的 Bug,如今國(guó)產(chǎn)應(yīng)用是否有繞開(kāi) Google 對(duì)剪貼板管控的方法也猶未可知,所以其實(shí)讓更懂國(guó)產(chǎn)應(yīng)用的國(guó)產(chǎn)系統(tǒng)做相關(guān)的控制會(huì)更好。
還有一個(gè)問(wèn)題,應(yīng)用讀取剪貼板的目的是什么?
關(guān)于這個(gè)情況我也問(wèn)了一下做 Android 開(kāi)發(fā)的朋友,他也給我提供了一些解釋,比如在軟件之間跳轉(zhuǎn)的時(shí)候經(jīng)常也會(huì)用到剪貼板。
淘口令和抖音口令這種明顯的不說(shuō),其實(shí)你復(fù)制一條網(wǎng)址的時(shí)候打開(kāi) Chrome 瀏覽器會(huì)發(fā)現(xiàn)地址欄已經(jīng)有一條復(fù)制好的鏈接可以一點(diǎn)即達(dá),這就是 Chrome 讀取了你剪貼板換來(lái)的便利。
還有的是為了統(tǒng)計(jì)不同的渠道和來(lái)源,比如跳轉(zhuǎn)時(shí)在剪貼板中寫(xiě)入一些標(biāo)簽信息,跳轉(zhuǎn)之后讀取就能看到來(lái)源。不過(guò)通常 Android 應(yīng)用之間喚起采用的是廣播的形式,并不會(huì)涉及到剪貼板。
至于大家最擔(dān)心的可能就是應(yīng)用窺探用戶隱私的問(wèn)題。實(shí)際上這個(gè)不是很容易找出明確證據(jù)來(lái)證明。就像上面說(shuō)的,體量大的應(yīng)用有很多將其合理化的「借口」。但是從邏輯上說(shuō),讀取剪貼板來(lái)補(bǔ)充更細(xì)致用戶畫(huà)像的確是可行的。
關(guān)于什么是用戶畫(huà)像,在之前 MIUI 12 的文章中我有提及,就是把你所有的喜好和行為習(xí)通過(guò)一個(gè)個(gè)標(biāo)簽的形式描繪出來(lái)。
對(duì)于大公司來(lái)說(shuō),對(duì)用戶畫(huà)像的準(zhǔn)確率要求很高,基本上是能夠提高用戶畫(huà)像準(zhǔn)確率的手段都可能會(huì)用上,對(duì)于個(gè)人來(lái)說(shuō),能做的就是盡量選擇權(quán)限更完善的系統(tǒng),少使用體積臃腫的應(yīng)用,多使用小程序和網(wǎng)頁(yè)這樣輕量的方式,理論上對(duì)個(gè)人隱私會(huì)好一點(diǎn)。
不過(guò)輿論的力量也是不可小覷的,在上述的 53 個(gè) iOS 應(yīng)用中,目前不少應(yīng)用已經(jīng)通過(guò)一輪更新來(lái)規(guī)避掉了剪貼板權(quán)限的風(fēng)險(xiǎn),甚至 TikTok 還進(jìn)行了危機(jī)公關(guān)來(lái)迅速解釋。
在這個(gè)互聯(lián)網(wǎng)時(shí)代,大公司對(duì)用戶數(shù)據(jù)的如饑似渴,與個(gè)人對(duì)自身隱私的敏感,看起來(lái)還要成為一個(gè)長(zhǎng)久的拉鋸戰(zhàn)。而作為弱勢(shì)的用戶一方,還需要更多類似 iOS 14 和 MIUI 12 這樣的系統(tǒng)出現(xiàn),以及更多更好的媒體報(bào)道作為對(duì)大公司機(jī)器的防御。