第三方 iOS 应用私自监控剪贴板,我们能做些什么?
2020-04-07 18:00:06 Author: sspai.com(查看原文) 阅读量:387 收藏

第三方 iOS 应用私自监控剪贴板,我们能做些什么?

在日常使用手机的过程中,我们的剪贴板难免会存下一些重要的信息,比如快递的收货信息、电话、邮箱,甚至是一些密码。日前,有国外开发者 发现 部分 iOS 应用会在用户不知情的前提下私自读取设备的剪贴板

在 实验视频 中,他们将手机连接至电脑,并通过 Xcode 来筛选出关于「Pasteboard」的系统日志。在打开 TikTok(抖音国际版)时,增加了应用读取设备剪贴板的日志内容。 

开发者在文章里提到,他们在热门游戏、社交应用,乃至主流媒体的客户端中都发现类似的现象:这些应用会在开启时读取用户保存在剪贴板里的内容。

由于已经有因为剪贴板泄露地理位置的前例,因此,第三方应用监控剪贴板的举措容易让人担忧自己的隐私安全问题。

哪些应用会监控?它们用来做什么?

开发者在文章中列举了 4 类共计数十个监控用户剪贴板的第三方应用。其中包括以纽约时报、华尔街日报等新闻客户端,水果忍者、PUBG Mobile 等热门游戏,以及 TikTok、微博等社交应用。

开发者发现的会监控剪贴板内容的应用列表

除了这些应用,国内用户常用的淘宝、百度网盘等应用,对于剪贴板的监控可以说是路人皆知了。如果你的剪贴板里有淘宝的分享链接,那么淘宝会在启动时询问你是否跳转。百度网盘则会检测你剪贴板中的链接,并询问你是否要存入网盘(存入笔记功能可关闭,但保存共享文件功能无法关闭)。

淘宝与百度网盘会检测剪贴板

上面这一系列应用监控剪贴板的行为大多是未经许可的,其中既有淘宝、百度云这一类监控目的明确的应用,也有像纽约时报、TikTok 等目的暂不明确的应用。无论目的为何,私自监控用户剪贴板,或多或少都存在用户隐私在不知情的情况下遭到泄露的风险。

当然,一款应用监控用户的剪贴板并不意味着它就一定在窃取你的信息。在 这篇报道 的评论区,有网友指出部分开发者会利用这一功能开进入 debug 模式。也有的应用单纯将其用于提升用户体验,比如追踪物流单号等。

如何避免它们获取你的剪贴板?

其实,除了上面提到的一些应用外,还有一类应用会监控你的剪贴板:以 Pin 为代表的剪贴板扩展应用。不过它们是在获得用户许可的前提下进行的监控,目的也是为了提升剪贴板的使用效率。

此类工具往往会有一个功能叫做「清空剪贴板」。这一功能可以让你手动清空自己的剪贴板内容,从而确保不被其他应用获取到剪贴板内容。以 Pin 为例,你可以在通知中心添加它的 Widget 小组件,在需要清空剪贴板时,只要点击 Widget 里的「清除」即可。

Pin 支持清除剪贴板

这一做法虽然可以有效避免剪贴板内容被监控,但它需要用户养成习惯手动点击才行。如果你已经明确知道哪些应用会监控你的剪贴板,或者你想避开潜在的风险,那么你还可以通过一个简单的快捷指令在打开应用前,自动清理剪贴板。

对于 Launch Center Pro 用户来说,你可以在 Launch Center Pro 里为打开应用的动作加上「清除剪贴板」的操作。要实现「打开应用前清理剪贴板」的效果,你只需要将这个动作复制到 Launch Center Pro 里,并替换其中应用的 URL Schemes 即可。

launch://x-callback-url/clipboard?text={{}}&x-success={{应用 URL Schemes}}

以微信为例,只需要将 应用 URL Schemes 替换成 weixin://。当然,你不止可以用这一功能来打开应用,还可以通过 URL Schemes 来打开应用内的具体功能,比如清理剪贴板并打开微信扫码功能,就可以将其替换为 weixin://scanqrcode

关联阅读:《这些动作,用 Launch Center Pro 执行依然合适

打开应用前清理剪贴板

即使你没有使用 Launch Center Pro 的习惯,也可以使用快捷指令来实现这一点。相比于 Launch Center Pro,快捷指令的操作会更加简单直观,适合不熟悉 x-callback-url 的人。

你只需要添加「拷贝至剪贴板」 和「打开 App」两个操作,将前者的「内容」留空,并在「打开 App」里加入你想打开的应用,随后将其添加至主屏幕即可。下次当你想打开这个应用时,就点击这个新生成的图标。

用快捷指令打开应用

Launch Center Pro 和快捷指令的原理相同,都是通过在剪贴板写入空白内容来实现「清理」的效果。

上面提到的三种办法都不能完美解决剪贴板被监控的问题。对于普通用户来说,这些方法只能帮我们尽可能避免剪贴板内容被这些应用获取,降低隐私泄露的风险。

未来有没有办法解决这一问题?

之所以这些第三方应用可以私自获取用户的剪贴板信息,最主要的原因在于 App Store 的审核指南里并没有明确禁止这一行为。再加上 iOS 本身没有针对剪贴板的权限控制,导致应用可以随意访问用户的剪贴板。

在系统给用户提供权限管理的情况下,我还是呼吁开发者能够在应用内提供开关,让用户拥有手动选择是否将剪贴板内容交给应用的权利。此外,对于需要利用这一功能提升用户使用体验的应用来说,让用户明确知道应用正在监控剪贴板也不失为一件好事。

当然,我们更希望的还是苹果能够重视起剪贴板的权限,在未来的 iOS 中,在系统层面加入剪贴板权限控制。即使没有全局控制,如果系统能在应用索取剪贴板内容时,向用户弹窗提示,相信也可以降低隐私泄露的风险。

作为开发者或者用户,你对第三方应用监控用户剪贴板有何看法,不妨在评论区与我们一同讨论。

> 下载少数派 客户端、关注 少数派公众号,获取更多科技资讯 📱

> 特惠、好用的硬件产品,尽在 少数派 sspai 官方店铺 🛒

© 本文著作权归作者所有,并授权少数派独家使用,未经少数派许可,不得转载使用。

Tp

Tp

Be nothing, and everything.


文章来源: https://sspai.com/post/59816
如有侵权请联系:admin#unsafe.sh