剪贴板调用的“中国互联网特色”的存在,长期来看并不是好事。一些新的玩法,已经从灰色转向黑色了。
去年双十一期间,有用户发现自己的搜狗输入法内置剪贴板里开始频繁出现未知的淘口令。
更夸张的是,搜狗输入法也内置了复制内容后提示的功能,打开了这个功能的用户,会频繁跳出“你刚刚复制了xxxx”的提示——尽管自己并未进行任何复制的动作。
在此前提之下,当用户打开淘宝、一淘之类的应用时,这些未知淘口令就会被调用、识别,进而触发锁佣红包的页面。一些用户不注意点击了之后,使用购物返利应用下单获得的返利,就进入了别人——未知淘口令的原主——的账户里。
有受访者对硅星人反应,在今年618购物节期间,搜狗输入法也出现了类似的情况。
关于这一情况,Bill Cheng 补充介绍,前几年支付宝做过一个吱口令的功能,其他人复制某用户的吱口令进入支付宝可以获得红包,三天内使用支付宝付款还可以让吱口令的原主获得返佣。
结果,在之后的一段时间里,很多移动网站的开发者动了歪心眼,通过网页 API 往剪贴板里填充吱口令,不仅会覆盖掉用户剪贴板里之前的内容,还会导致用户进入支付宝等应用时莫名其妙弹出窗口。
很明显,这些开发者的用意是大规模骗取返佣,而渠道正是通过剪贴板进行的,不仅简单,而且“合法“。
Bill Cheng 认为,调用剪贴板在 iOS 14 之前是一个灰色的地带,功能需求是存在的,对用户隐私的侵犯也没有那么被人关注,所以也没人质疑这种做法的合理性。iOS 14 的新提示框将调用剪贴板的动作暴露出来,在他看来是一件好事。
“应用在打开时随意读取剪贴板,是对用户隐私的一种侵犯。剪切板里面很有可能储存并不是分享的乱码字段,而是你的姓名、银行卡号、手机号甚至是密码。”
这部分信息很有可能随着剪贴板读取上传到应用的服务器上,和用户的账号绑定在一起,联系方式或财务信息就这样不知不觉泄漏了。
沈寅认为,上传用户剪贴板内容,确实可以提取到很多用户的隐私信息,在应用上是没有必要的,“不论这些应用有没有做剪贴板数据的收集或者分析,这种行为都会让用户很恐慌。作为一名剪贴板应用的开发者,个人的态度是必须把用户的隐私放在第一位。”
Bill Cheng 指出,剪贴板作为用户行为操作的系统及工具,不应该被用在非用户行为的操作上。如果用户没有进行剪切复制粘贴操作,应用就不应该去读取剪贴板的内容,或者往里面写入内容。“别说当前存在隐私问题的剪贴板分享,就是跳转登陆,或者支付,都不应该使用剪贴板。”
他认为,让剪贴板回归最初的工具用途,是苹果 iOS 14 这次展示弹窗的初衷,“把这种做法暴露出来,我觉得是件好事。这代表苹果官方将这个曾经灰色的地带定义成黑色。”
硅星人:(ID:guixingren123)
从科技到文化,从深度到段子,硅星人为你讲述关于硅谷的一切。
