硬核测试:50个主流App,有41个在“偷看”你的剪贴板
2020-07-02 16:58

硬核测试:50个主流App,有41个在“偷看”你的剪贴板

本文来自微信公众号:IT时报(ID:vittimes),记者:孙妍,头图来源:IC photo


苹果iOS14正式版还未发布,便让国内外App开发者们都不淡定了,主要是因为iOS 14新增了安全提醒功能。一旦App读取剪贴板,iPhone上部就会出现一条通知:“A应用复制自B应用”。苹果这一更新是为了让用户知道哪些App可能在跟踪自己的信息。


那么,剪贴板会泄露个人信息到什么程度?什么情况下是最危险的?《IT时报》记者为此测试了50款App的苹果版和安卓版,结果出乎意料。

你的电话、收件地址发我一下。


你的视频会员账号和密码能借我用一下吗?


钱打到哪张卡上,开卡行和身份证号也同步发我一下。


交流完这些隐私信息后,往往伴随着复制粘贴这个动作。你有没有计算过,每天会在手机上做多少次复制粘贴?不曾想,这个习以为常的动作可能会悄悄泄露我们的隐私。


苹果iOS 14已在国外掀起隐私保护的风波。


据外媒报道,有用户升级到iOS 14后,系统不断提示字节跳动旗下短视频应用TikTok在获取剪贴板。同时,谷歌chrome浏览器、新闻应用CNN、Google News和星巴克都被网友在使用iOS 14时发现,会对用户的剪贴板进行读取。


对此,TikTok相关负责人表示,已向App Store提交更新版本,下线该功能以消除混淆。访问剪贴板是为了打击部分用户重复刷无意义的垃圾评论、恶意刷评论等现象。他也强调,此功能不会访问用户剪贴板的任何内容。


那么,国内主流App在苹果的新系统下是否也会无处遁形?



《IT时报》测试视频


测试50款主流App ,只有9个未主动读取剪贴板


升级为iOS14测试版后,《IT时报》记者测试了50款主流App,覆盖电商、社交、视频、音乐、金融、生活、出行等领域,结果显示只有9款App没有触发复制剪贴板的提醒,分别是微信、国美、亚马逊中国、知乎、同花顺、美团外卖、叮咚买菜、携程和滴滴出行。


制图:IT时报 冯诚杰


也就是说,当你在iPhone的任意一个App里做复制粘贴这个动作后,打开其他41款App时,都有可能被它们在第一时间读取,但用户不知情。


令人细思极恐的是,在iOS14版本之前,用户对于这一行为是无感知的,苹果也是默许该行为的。


那么,苹果会自动识别敏感信息,并帮助用户拦截吗?


《IT时报》记者在iPhone自带备忘录里一次性复制一条关联信息,包含姓名、电话、家庭住址和身份证号等敏感信息,并在备忘录里完成了粘贴的动作。但当记者一一打开这50款App时,仍旧会出现“某某App复制自备忘录”的安全提示,多次测试后发现,结果跟上述测试一样,82%的App都会读取剪贴板。



“苹果在iOS 14之前都没有对剪贴板内容进行安全提示和过滤,iOS 14正式版发布前还不清楚是否会过滤。” 一家企业安全服务商指出,“只要是用户复制粘贴的信息,App几乎都可以读取,比如文本、图片、文件基本信息等。”


对App来说,剪切板是一个很好的工具,比如淘宝和抖音的链接被微信拒之门外后,他们就利用口令、二维码等形式来实现跳转。抖音和淘宝都会先识别,有自家特殊标识的会上传云端匹配相关视频或商品,返回结果给用户。如果没有对应结果,用户就感知不到这一行为。


二次粘贴才是最大的风险


“二次粘贴才是最大的风险。”民间互联网安全组织网络尖刀创始人曲子龙指出,剪贴板最大的潜在风险不是第一次复制粘贴,在日常生活中,第一次复制粘贴的内容大部分都是为方便用户提供信息给App的,真正的风险是用户复制了内容粘贴到A应用之后,复制的内容并没有被回收,打开B应用时该内容仍然可以被获取到,从而造成敏感信息的泄漏风险。


值得一提的是,上述几次测试结果都是在二次粘贴的测试环境下得出,《IT时报》记者先在备忘录这个App中完成复制和粘贴两个动作,再打开50个App查看是否有安全提醒。


同时,《IT时报》记者做多次粘贴测试发现,在运行iOS 14测试版的iPhone上,基本上,跨App粘贴20次后,该复制内容会失效,无法再粘贴。但每次次数略有差别,以此推断可能跟时间相关,每隔一段时间,iPhone会清空一次剪贴板。



在敏感信息回收这点上银行系App做得较好,当复制粘贴银行卡账号后,再登录银行类App,多家银行都会出现一条提示:“您是否需要向银行卡(账号)转账”,包括工商银行、招商银行、邮储银行、浦发银行、上海银行等都有此功能。


所幸的是,你在一家银行完成取消或转账这个动作后,再登录其他银行App就不会再出现这条提示。


小米对标iOS 14:照一照面具下的安卓应用


小米MIUI 12系统升级了隐私保护功能,这个功能比iOS 14的提醒更到位,被手机圈认为是流氓软件的克星。


只要App调取用户个人信息,小米这一功能便会提醒,同时返回一个“空白通行证”,一定程度上解决了“不给权限不让用”的问题。



于是,《IT时报》记者利用小米隐私功能测试了上述50款App的安卓版,也只有11个App是不主动读取剪贴板的,分别是微信、国美、亚马逊中国、知乎、微众银行、饿了么、美团外卖、叮咚买菜、58到家、携程和滴滴出行。


不主动读取的安卓应用比苹果应用还略多一些并不能说明安卓比苹果更安全,因为从读取次数来看十分触目惊心,有部分安卓应用甚至在两分钟内读取了20次剪贴板。



从苹果和安卓的对比测试可以看出,在国内,读取用户剪贴板是一个非常普遍的行为。


“要看有没有实际侵权,还要看App读取剪贴板后会不会上传并留存用户个人信息。”曲子龙说道。这就相当于构成个人信息收集行为了。


那么如何界定是否侵权?根据《App违法违规收集使用个人信息行为认定方法》第三条第1点,征得用户同意以前就开始收集个人信息,可认定为“未经用户同意收集使用个人信息”;第四条第1和第3点指出,收集的个人信息类型与现有业务功能无关,收集个人信息的频度等超出业务功能实际需要,可认定为“违反必要原则”。


苹果系统的剪贴板一直被认为比安卓系统更安全。因为在iPhone上,当你复制一条新内容后,会直接覆盖之前复制的内容。然而,安卓手机会保留更多内容在剪贴板上,所以你常常可以在输入法等地方查看剪贴板历史记录。


近来,安卓手机厂商也开始意识到剪贴板的信息安全问题,多家安卓手机厂商都推出了几秒清空剪贴板的功能。


由此可以看到,国内手机厂商已经在带头净化应用过度索取信息的问题生态,苹果此次更新之用意,也不单单只是提醒用户,谁在跟踪我,也在警告开发者。


除了要注意国内渐趋严格的个人信息收集与使用法规外,中国应用出海也需要重视用户隐私保护问题。继欧盟在2018年出台史上最严的隐私法规《通用数据保护条例》(GDPR)后,今年美国也出台了甚严的《加利福尼亚州消费者隐私法案》(CCPA)


今年2月,两位国外iOS开发者发出警告,由于苹果和安卓手机中的一个漏洞,数十款主流App经常访问剪贴板内容,尽管此举没有太大危害,但可能会被黑客利用。


那么,剪贴板在什么情况下容易造成信息泄露,并存在被黑客或流氓App滥用的危险? 


多位白帽子和安全专家向《IT时报》记者指出,在苹果手机上一次性复制粘贴账户+密码、姓名+身份证号+家庭住址+电话等关联组合信息时,或者在安卓手机上一次性复制或连续复制组成关联信息,对于在“偷看”的App来说是有价值的。


如果只是一个密码,那么App得到的也只是一串无意义的字符串,加之手机不越狱,App是通过官方渠道安装的,就不必过多担心。


本文来自微信公众号:IT时报(ID:vittimes),记者:孙妍。(冯诚杰对此文亦有贡献)

本内容为作者独立观点,不代表虎嗅立场。未经允许不得转载,授权事宜请联系hezuo@huxiu.com
如对本稿件有异议或投诉,请联系tougao@huxiu.com
正在改变与想要改变世界的人,都在 虎嗅APP
赞赏
关闭赞赏 开启赞赏

支持一下   修改

确定