手機應用為什麼要讀取剪貼板內容?背後到底在玩什麼把戲?
有開發者發現,在 iOS 14 預覽版 上,當前台活躍的應用讀取了剪貼板里的內容時,會在界面上彈出提示告知用戶。
具體來說,當 App 從關閉狀態打開或者從後台進入前台時,都會讀取用戶剪貼板里的內容,iOS 14 預覽版會顯示 「xxx pasted from yyy「 的字樣,其中 xxx 是讀取了剪貼板內容的應用,yyy 是剪貼板內容的來源應用。例如:
這個功能一出,此前總是偷偷訪問剪切板的 App 一下子就現形了。
根據獨立開發者 Talal Bakry 和 Tommy Mysk 的研究整理,發現了至少53個應用具有這樣的行為,除了 TikTok 之外還有《紐約時報》和《經濟學人》的手機端、微博、AccuWeather、阿里巴巴的全球速賣通 (AliExpress) 等,涵蓋社交網路、新聞客戶端、遊戲和電商等類型。
不過,最受人矚目的就是位元組跳動旗下的海外短視頻軟體 TikTok。
新銳評丨手機應用為啥要讀取剪貼板內容?背後到底玩的是什麼把戲??mp.weixin.qq.com
信息,互聯網公司最需要也最渴望的就是用戶的信息,因為這是它們利潤最根本的來源。
還記得之前微信偷聽聊天記錄的討論嗎?
其實我當時就一直在說實時錄音並且進行語義分析,這個東西難度太高了,也太費電了,很容易就會被用戶察覺。
你和朋友之間討論的東西變成推動廣告,大概率還是在別的渠道,現在我們知道讀取剪切板算是一個,這可比偷偷錄音分析效率高多了。
但是隱私泄露其實還有另一個重要渠道,那就是輸入法。
無論是百度輸入法還是搜狗輸入法,在 iOS 上都要用各種方法誘導用戶開啟 允許完全訪問 選項,有的可能是說為了換皮膚,有的可能是說為了提供更多功能,但 iOS 明確告訴你了開啟這個選項的後果。
那就是你用這個輸入法輸入的每一個字,都是不受控制的,從許可權上看都是能被輸入法讀取分析的,包括你的名字,你的身份證,你的生日,你的密碼,還有你說過的任何一句不想讓第三個人看到的話。
你想想,這是不是聊天內容變成推送廣告最方便的渠道?
可怕嗎?我覺得挺可怕的,所以我在任何設備上,無論 iOS, Android 還是 Win 或者 macOS 全都只用系統自帶輸入法,至少目前為止我也沒碰見過什麼聊天內容被推送廣告的事。
最後瞎扯幾句:
之前還有人說自己的信息不重要,所以沒有公司會去讀,說實話這個觀點也不是完全錯,確實不是所有公司都需要單一個體的個人信息,但他們需要所有人的所有信息,因為量級變大,意義也就完全不同。
感謝 iOS, 也感謝任何一個為用戶隱私而努力的個人與公司。
剪貼板的讀取和寫入,是很久前就有的功能。
蘋果開發者資料中的「UIPasteboard」介紹里寫了「Availability :iOS 3.0+」,iOS 3.0 是在 2009 年 3 月發布的,即讀取和寫入剪貼板,是在 2009 年就支持的。
所以這個不是在 iOS 14 才有的,但是讀取和寫入剪貼板這個行為是默默發生的,並不會知道哪個應用在讀取你的剪貼板,哪個 App 在寫入你的剪貼板。
現在 iOS 14 在使用 App 時,如果 App 在讀取剪貼板,會在頂部有提醒,也會告訴你剪貼板讀取的內容是誰寫入的,比如打開淘寶的時候,會看到:
但是,並不是寫剪貼板、讀剪貼板就是壞事兒。
比如以前在做某詞典應用的時候,就想讓用戶最快速的查詞。
當時的方法是如果你在 A 應用裡面複製單詞,只需要下拉通知欄,就可以看到這個單詞的意思。
為什麼?因為你在 A 應用裡面查詞,作為另一個 App 的詞典是不知道你要查詞的,因為蘋果的安全機制,是做不到像 Windows 上面直接 hook 到你的 App,然後做屏幕取詞的。
但是一旦到了剪貼板,且到了通知欄下拉後,這一部分就是系統有開放能力的,從而可以從監聽到單詞,進而給出查詢結果。
這個算是正經的應用方式了,但我不記得最後這個功能上了沒有,太久前的事情了。
以及還負一屏的組件也不少這麼用的,比如 Pin,還有一些做快速搜索的,都是剪貼剪貼板,然後做分詞、搜索之類的。
淘寶的淘口令也是用了特殊的文字組合,然後進淘寶就檢查剪貼板,從而才能準確打開商品,突破微信的封鎖且保持一定的良好體驗,也是靠的讀取剪貼板這個能力。
還有如果你訪問一些網站(比如盜版小說之類的),會發現剪貼板有時候不小心就被複制了淘口令(或者紅包口令),這些是為了賺錢的,你打開淘寶之類的,如果打開了紅包,這些紅包口令的作者是有錢賺的,還有之前支付寶發錢的時候,訪問某些網站剪貼板也會偷偷被寫入一些東西,都是類似的。
總之,這玩意是為了讓 iOS 的應用之間多一種類似進程通訊的能力,類似 Windows 的剪貼板,但怎麼玩並不好控制。
作為一貫注重隱私的蘋果,感覺也算是開了個先河,告訴大家誰在讀取你的剪貼板「隱私」,但不知道下一步會怎麼走,可能還會顯示誰寫入了剪貼板?但感覺不太可能限制 App 不能訪問剪貼板,不然一些基礎功能就跑不通了。
總之,系統級的剪貼板和基於剪貼板的讀取和寫入,就只是一種系統提供的能力而已。
技術無罪,在好的 App 中,可能會成為造福的利器,但被拿來收集隱私、濫用,也比比皆是。
在這點上,感謝蘋果至少讓我們知道了誰在讀取,讓我們做一個明明白白的使用者。
希望這樣的曝光,能讓大家更健康、更克制的使用剪貼板,讓 iOS 的生態越來越健康。
(完)
可以看下這篇文章哈
這些濫用剪貼板的App,背後玩的是什麼把戲?-PingWest 品玩?www.pingwest.com
原來有一段時間每天開打淘寶的時候都會彈出淘口令,一直不知道從哪裡複製的,我雖然用的搜狗輸入法,但是沒有開啟完全訪問,直到有一天………我發現被強制複製的淘口令來自這裡:
那段時間會陪母親看甄嬛傳,所以有時候會百度電視劇劇情,後來發現每次就是在這裡被強制寫入剪貼板
PS : 如懿傳後面太虐了,我不想再看一遍了(流淚)
這是pc時代就有的東西了
畢竟這個時代最值錢的是流量
有了流量如何變現呢?或者更直白的說,如何讓流量賺錢呢?
某些軟體的月活可是過億了,這可以一塊非常大的蛋糕
最簡單的就是廣告推廣
///10年豆瓣的廣告收入好像就達到千萬級別了///
而對一個年輕人植入植髮廣告的操作,太差火了
無疑是非常讓用戶反感的。
這時候,就需要專門的優化了
例如,你搜索了紙尿褲,那我就定向給你推奶粉
你搜索SM,我就 給你推皮鞭,咳咳,口誤口誤,皮衣
廣告收入占互聯網公司營收的相當大一塊
例如最近比較火的騰訊老乾媽事件,廣告費就達到了1600多萬
這塊也是無數互聯網公司夢寐以求的信息服務
市面上也有專門做這些的公司
一句話,他知道你輸入什麼
並不是要理解你幹什麼,那這樣需要海量計算,技術實力大部分也達不到
主要乾的,就是關鍵詞喚醒,例如sm召喚皮鞭,尿不濕召喚奶粉
精靈球召喚寶可夢
召喚了之後定向對你投送廣告
那麼可愛的你肯定又要說了,這樣有效果嗎???
誒,你還別說,真有
例如你在王者榮耀充過錢沒有?
我敢說,遊戲裡面絕大部分的人,是沒有滴
但是騰訊timi會設計各種好玩的活動,各種周邊,來刺激滲透你的消費
假設之前是2%的玩家消費10億元
只要你把滲透率加到4%,那就是接近40億元
也就是只要你獲得更多,更優質的流量,
你就會成功步入拉斯維加斯的天堂,咳咳
更多,更優質這兩個指數,也並不一定是有先後順序的
當然,如果你
賺的只會更多
但是細分一個領域,做到優質,也可以上市敲鐘
例如什麼值得買
有點像在上互聯網營銷課了,打住打住,介紹下相關新聞就行了
下面截取一些新聞,信息來源於網路
註:以下新聞均百度可見,還沒嘗試其他搜索引擎
管中窺豹吧
新聞一:
PC時代,2015年
全球知名安全公司McAfee實驗室日前在其官方博客上稱,其研究人員發現搜狗輸入法收集並上傳用戶設備信息,且利用明文HTTP傳輸用戶的個人信息和企業數據,這很容易導致信息被黑客截取。
McAfee實驗室表示搜狗輸入法此舉匪夷所思,並呼籲其在安全開發周期中修補這些漏洞。
以下是McAfee博客內容全文:
搜狗是一款流行的中文輸入法軟體,宣稱有超過4億用戶。
用戶拼音輸入時,搜狗輸入法可以給予提示,用戶無需拼出所有字母就可以打出文字,簡化了用戶輸入。(比如在輸入「你好」的拼音「nihao」時,用戶打出nh就可以出現所需文字選項。)
我們對一款輸入法可能就需要這麼多吧,這也是我們在Windows 7電腦上安裝這款軟體的原因。
但是,當我們通過USB介面將一部iPod連接到安裝了搜狗輸入法的Windows 7電腦,這時在數據包抓取工具Fiddler上會發現以下信息:
乍看這些信息可能會不以為意。但我們會有這樣的疑問:為什麼一個輸入法軟體需要搜集這些信息:用戶連接一部iOS設備(iPod 5),運行iOS7.0,序列號是「650…」,通過USB介面「USB#ROOT_HUB20#48…」與電腦連接。
當研究人員連上一部Android手機時,Fiddler搜集到類似的信息:
這種情況下,收集用戶的設備信息實在讓人感到意外。一款輸入法軟體收集這些信息更讓人感到匪夷所思。
更嚇人的是這些信息明文HTTP傳輸,這無疑會吸引黑客截取這些數據,要知道當今世界布滿了惡意的移動熱點。
我們呼籲應用開發商(搜狗)能在安全開發周期中修補這些漏洞。
註: Fiddler是一款強大的數據包抓取軟體。它通過代理的方式獲取程序http通訊的數據,可以用其檢測網頁和伺服器的交互情況。
McAfee曝搜狗輸入法竊取用戶數據並通過明文傳輸|藍點網?www.landiannews.com
新聞二:
Sina Visitor System?weibo.com
推薦閱讀:
※iphone卸載軟體後內存會有殘留么?
※iPhone 這些使用小技巧,我不說你可能不知道哦
※iOS有什麼問題是你最忍受不了的?
※華為p20和iphone7怎麼選?
※今天發布的iOS 13.3正式版值得更新嗎?