IT时报记者孙妍 制图冯诚杰
　　“你的电话、收件地址发我一下。”
　　“你的视频会员账号和密码能借我用一下吗？”
　　“钱打到哪张卡上，开卡行和身份证号也同步发我一下。”
　　……
　　这些信息的交流，往往伴随着复制粘贴这个动作。但你是否想过，这个习以为常的动作可能会泄露个人隐私信息。
　　苹果iOS 14正式版尚未发布，就引起了关于隐私安全的讨论，因为iOS 14新增了安全提醒功能。有了此功能，一旦手机中的App读取剪贴板，iPhone就会弹出通知：“A应用复制自B应用”。如此一来，用户就知道哪些App可能在跟踪自己的信息。
　　那么，国内主流App在苹果的新系统下是否会无处遁形？安卓系统用户是否会碰到同样情况？记者为此亲自测试，并采访了业内技术专家，结果让人吃惊。
50个主流App实测仅9个没有主动获取剪贴板
　　据外媒报道，有用户升级到iOS 14后，发现系统不断提示抖音短视频国际版Tik⁃Tok在获取剪贴板。同时，谷歌Chrome浏览器、新闻应用CNN、Google News和星巴克都被网友曝光会对用户的剪贴板进行读取。
　　对此，TikTok相关负责人表示，访问剪贴板是为了打击重复刷无意义的垃圾评论、恶意刷评论等行为，但不会访问用户剪贴板的任何内容。不过，为了消除混淆，TikTok已经向App Store提交了更新版本并下线了反垃圾邮件功能。
　　那么，国内用户会碰到类似的情况吗？
　　为此，《IT时报》记者在自己的iPhone升级为iOS14测试版后，测试了50个主流App，覆盖电商、社交、视频、音乐、金融、生活、出行等领域。结果让人大吃一惊，只有9个App没有触发复制剪贴板的提醒，分别是微信、国美、亚马逊中国、知乎、同花顺、美团外卖、叮咚买菜、携程和滴滴出行。
　　也就是说，当用户在iPhone的任意一个App里做复制粘贴动作后，打开其他41款App都可能会复制该内容。
　　令人细思极恐的是，在iOS14版本之前，用户对于这一行为毫无感知，苹果默许该行为。
　　那么，苹果会自动识别敏感信息，并帮助用户拦截吗？《IT时报》记者在iPhone自带的备忘录里复制了一条关联信息，包含姓名、电话、家庭住址和身份证号等敏感信息，并在备忘录里完成了粘贴的动作。但当记者一一打开这50款App时，仍旧会出现“某某App复制自备忘录”的安全提示，多次测试后发现，结果跟上述测试一样，82%的App都会读取剪贴板。“苹果在iOS 14之前没有对剪贴板内容进行安全提示和过滤，iOS 14正式版发布前还不清楚是否会过滤。”一家企业安全服务商指出，“只要是用户复制粘贴的信息，App几乎都可以读取，比如文本、图片、文件基本信息等。”
　　对App来说，剪切板是一个很好的工具，比如淘宝和抖音的链接被微信拒之门外后，他们就利用口令、二维码等形式来实现跳转。抖音和淘宝都会先识别是否有自家的特殊标识，才会上传云端匹配相关视频或商品，返回结果给用户。如果没有对应结果，用户就不会有感知。
二次粘贴带来大风险易致敏感信息泄露
　　“二次粘贴才是最大的风险。”民间互联网安全组织网络尖刀创始人曲子龙指出，剪贴板最大的潜在风险不是第一次复制粘贴，在日常生活中，第一次复制粘贴的内容大部分是为方便用户提供信息给App的，真正的风险是用户复制了内容粘贴到A应用之后，复制的内容并没有被回收，打开B应用时该内容仍然可以被获取，从而造成敏感信息的泄露。
　　值得一提的是，上述几次测试结果都是在二次粘贴的测试环境下得出，《IT时报》记者先在备忘录这个App中完成复制和粘贴两个动作，再打开50个App查看是否有安全提醒。
　　同时，《IT时报》记者多次粘贴测试发现，在运行iOS 14测试版的iPhone上，基本上，跨App粘贴20次后，该复制内容会失效，无法再粘贴。每次略有差别，据此判断可能跟时间相关，每隔一段时间，iPhone会清空一次剪贴板。
　　在敏感信息回收方面，银行系App做得较好，当复制粘贴银行卡账号后，再登录银行类App，多家银行都会出现一条提示：“您是否需要向银行卡（银行卡账号）转账”，包括工商银行、招商银行、邮储银行、浦发银行、上海银行等，所幸是，用户在一家银行完成取消或转账这个动作后，再登录其他银行App就不会再出现这条提示。
小米对标iOS 14照一照面具下的安卓应用
　　小米MIUI 12系统升级了隐私保护功能，这个功能比iOS 14的提醒功能更到位，被手机圈认为是流氓软件的克星。
　　只要App调取用户个人信息，小米这一功能便会提醒，同时返回“空白通行证”，一定程度上解决了“不给权限不让用”的问题。《IT时报》记者利用小米隐私功能测试了上述50款App的安卓版，也只有11个App是不主动读取剪贴板的，分别是微信、国美、亚马逊中国、知乎、微众银行、饿了么、美团外卖、叮咚买菜、58到家、携程和滴滴出行。虽然不主动读取的安卓应用比苹果应用还略多一些，但从读取次数来看十分触目惊心，有部分安卓应用甚至在两分钟内读取了20次剪贴板。
　　从苹果和安卓的对比测试可以看出，在国内，读取用户剪贴板是非常普遍的现象。“有没有实际侵权，还要看App读取剪贴板后会不会上传并留存用户个人信息。”曲子龙说道。
　　那么如何界定是否侵权？根据《App违法违规收集使用个人信息行为认定方法》第三条第1点，征得用户同意以前就开始收集个人信息，可认定为“未经用户同意收集使用个人信息”；第四条第1和第3点指出，收集的个人信息类型与现有业务功能无关，收集个人信息的频度等超出业务功能实际需要，可认定为“违反必要原则”。
苹果“敲打”开发者索取应用权限不要“贪”
　　苹果系统的剪贴板一直被认为比安卓系统更安全。因为在iPhone上，当用户复制一条新内容时，会直接覆盖前面复制的内容。然而，安卓手机会保留更多内容在剪贴板上，所以用户常常可以在输入法等地方查看剪贴板历史记录。安卓手机厂商也开始意识到剪贴板的信息安全问题，多家安卓手机厂商都推出了几秒清空剪贴板的功能。
　　由此可以看到，国内手机厂商已经在带头净化应用过度索取的大环境，苹果此次更新之用意，也不单单只是提醒用户，也是在警告开发者。
　　继欧盟在2018年出台史上最严的隐私法规《通用数据保护条例》（GDPR）后，今年美国也出台了《加利福尼亚州消费者隐私法案》（CCPA），中国应用出海需要越来越重视用户隐私保护的安全问题。
　　今年2月，两位国外iOS开发者发出警告，由于苹果和安卓手机中的一个漏洞，数十款主流App经常访问剪贴板内容，尽管此举没有太大危害，但可能会被黑客利用。
　　那么，剪贴板在什么情况下容易造成信息泄露，并存在被黑客或流氓App滥用的危险？
　　多位白帽子和安全专家向《IT时报》记者指出，在苹果手机上一次性复制粘贴账户+密码、姓名+身份证号+家庭住址+电话等关联组合信息时，或者在安卓手机上一次性复制或连续复制组成关联信息，对于在“偷看”的App来说是有价值的。
　　如果只是一个密码，那么App得到的也只是一串无意义的字符串，加之手机不“越狱”，App是通过官方渠道安装的，就不必过多担心。 （冯诚杰对此文亦有贡献）