錢打到哪張卡上，開卡行和身份證號也同步發我一下。蘋果iOS14正式版還未發布，便讓國內外App開發者們都不淡定了，主要是因為iOS 14新增了安全提醒功能。一旦App讀取剪貼板，iPhone上部就會出現一條通知：“A應用復制自B應用”。蘋果這一更新是為了讓用戶知道哪些App可能在跟蹤自己的信息。

那么，剪貼板會泄露個人信息到什么程度？什么情況下是最微信的？記者為此測試了50款App的蘋果版和安卓版，結果出乎意料。
你的視頻會員賬號和密碼能借我用一下嗎?你的電話、收件地址發我一下。

交流完這些隱私信息后，往往伴隨著復制粘貼這個動作。你有沒有計算過，每天會在手機上做多少次復制粘貼?不曾想，這個習以為常的動作可能會悄悄泄露我們的隱私。

蘋果iOS 14已在國外掀起隱私保護的風波。

據外媒報道，有用戶升級到iOS 14后，系統不斷提示字節跳動旗下短視頻應用TikTok在獲取剪貼板。同時，谷歌chrome瀏覽器、新聞應用CNN、Google News和星巴克都被網友在使用iOS 14時發現，會對用戶的剪貼板進行讀取。

對此，TikTok相關負責人表示，已向App Store提交更新版本，下線該功能以消除混淆。訪問剪貼板是為了打擊部分用戶重復刷無意義的垃圾評論、惡意刷評論等現象。他也強調，此功能不會訪問用戶剪貼板的任何內容。

那么，國內主流App在蘋果的新系統下是否也會無處遁形?

01

測試50款主流App

只有9個未主動讀取剪貼板

升級為iOS14測試版后，記者測試了50款主流App，覆蓋電商、社交、視頻、音樂、金融、生活、出行等領域，結果顯示只有9款App沒有觸發復制剪貼板的提醒，分別是微信、國美、亞馬遜中國、知乎、同花順、美團外賣、叮咚買菜、攜程和滴滴出行。

制圖：IT時報 馮誠杰

也就是說，當你在iPhone的任意一個App里做復制粘貼這個動作后，打開其他41款App時，都有可能被它們在第一時間讀取，但用戶不知情。

令人細思極恐的是，在iOS14版本之前，用戶對于這一行為是無感知的，蘋果也是默許該行為的。

那么，蘋果會自動識別敏感信息，并幫助用戶攔截嗎？

記者在iPhone自帶備忘錄里一次性復制一條關聯信息，包含姓名、電話、家庭住址和身份證號等敏感信息，并在備忘錄里完成了粘貼的動作。但當記者一一打開這50款App時，仍舊會出現“某某App復制自備忘錄”的安全提示，多次測試后發現，結果跟上述測試一樣，82%的App都會讀取剪貼板。

“蘋果在iOS 14之前都沒有對剪貼板內容進行安全提示和過濾，iOS 14正式版發布前還不清楚是否會過濾。” 一家企業安全服務商指出，“只要是用戶復制粘貼的信息，App幾乎都可以讀取，比如文本、圖片、文件基本信息等。”

對App來說，剪切板是一個很好的工具，比如淘寶和抖音的鏈接被微信拒之門外后，他們就利用口令、二維碼等形式來實現跳轉。抖音和淘寶都會先識別，,有自家的特殊標識的會上傳云端匹配相關視頻或商品，返回結果給用戶。如果沒有對應結果，用戶就感知不到這一行為。

02

二次粘貼才是最大的風險

“二次粘貼才是最大的風險。”民間互聯網安全組織網絡尖刀創始人曲子龍指出，剪貼板最大的潛在風險不是第一次復制粘貼，在日常生活中，第一次復制粘貼的內容大部分都是為方便用戶提供信息給App的，真正的風險是用戶復制了內容粘貼到A應用之后，復制的內容并沒有被回收，打開B應用時該內容仍然可以被獲取到，從而造成敏感信息的泄漏風險。

值得一提的是，上述幾次測試結果都是在二次粘貼的測試環境下得出，記者先在備忘錄這個App中完成復制和粘貼兩個動作，再打開50個App查看是否有安全提醒。

同時，記者做多次粘貼測試發現，在運行iOS 14測試版的iPhone上，基本上，跨App粘貼20次后，該復制內容會失效，無法再粘貼。但每次次數略有差別，以此推斷可能跟時間相關，每隔一段時間，iPhone會清空一次剪貼板。

在敏感信息回收這點上銀行系App做得較好，當復制粘貼銀行卡賬號后，再登錄銀行類App，多家銀行都會出現一條提示：“您是否需要向銀行卡（賬號）轉賬”，包括工商銀行、招商銀行、郵儲銀行、浦發銀行、上海銀行等都有此功能。

所幸的是，你在一家銀行完成取消或轉賬這個動作后，再登錄其他銀行App就不會再出現這條提示。

03

小米對標iOS 14

照一照面具下的安卓應用

小米MIUI 12系統升級了隱私保護功能，這個功能比iOS 14的提醒更到位，被手機圈認為是流氓軟件的克星。

只要App調取用戶個人信息，小米這一功能便會提醒，同時返回一個“空白通行證”，一定程度上解決了“不給權限不讓用”的問題。

于是，記者利用小米隱私功能測試了上述50款App的安卓版，也只有11個App是不主動讀取剪貼板的，分別是微信、國美、亞馬遜中國、知乎、微眾銀行、餓了么、美團外賣、叮咚買菜、58到家、攜程和滴滴出行。

不主動讀取的安卓應用比蘋果應用還略多一些并不能說明安卓比蘋果更安全，因為從讀取次數來看十分觸目驚心，有部分安卓應用甚至在兩分鐘內讀取了20次剪貼板。

從蘋果和安卓的對比測試可以看出，在國內，讀取用戶剪貼板是一個非常普遍的行為。

“要看有沒有實際侵權，還要看App讀取剪貼板后會不會上傳并留存用戶個人信息。”曲子龍說道。這就相當于構成個人信息收集行為了。

那么如何界定是否侵權？根據《App違法違規收集使用個人信息行為認定方法》第三條第1點，征得用戶同意以前就開始收集個人信息，可認定為“未經用戶同意收集使用個人信息”；第四條第1和第3點指出，收集的個人信息類型與現有業務功能無關，收集個人信息的頻度等超出業務功能實際需要，可認定為“違反必要原則”。

蘋果系統的剪貼板一直被認為比安卓系統更安全。因為在iPhone上，當你復制一條新內容后，會直接覆蓋之前復制的內容。然而，安卓手機會保留更多內容在剪貼板上，所以你常常可以在輸入法等地方查看剪貼板歷史記錄。

近來，安卓手機廠商也開始意識到剪貼板的信息安全問題，多家安卓手機廠商都推出了幾秒清空剪貼板的功能。

由此可以看到，國內手機廠商已經在帶頭凈化應用過度索取信息的問題生態，蘋果此次更新之用意，也不單單只是提醒用戶，誰在跟蹤我，也在警告開發者。

除了要注意國內漸趨嚴格的個人信息收集與使用法規外，中國應用出海也需要重視用戶隱私保護問題。繼歐盟在2018年出臺史上最嚴的隱私法規《通用數據保護條例》（GDPR）后，今年美國也出臺了甚嚴的《加利福尼亞州消費者隱私法案》（CCPA）。

今年2月，兩位國外iOS開發者發出警告，由于蘋果和安卓手機中的一個漏洞，數十款主流App經常訪問剪貼板內容，盡管此舉沒有太大危害，但可能會被黑客利用。

那么，剪貼板在什么情況下容易造成信息泄露，并存在被黑客或流氓App濫用的危險？

多位白帽子和安全專家向記者指出，在蘋果手機上一次性復制粘貼賬戶+密碼、姓名+身份證號+家庭住址+電話等關聯組合信息時，或者在安卓手機上一次性復制或連續復制組成關聯信息，對于在“偷看”的App來說是有價值的。

如果只是一個密碼，那么App得到的也只是一串無意義的字符串，加之手機不越獄，App是通過官方渠道安裝的，就不必過多擔心。