在開始批判這些應用之前,我們先來看看什麼是全局剪貼板。

開發者在開發軟體的過程中,會用到許多第三方提供的現有功能,或設備廠商提供的現有功能。這次輿論中心的全局剪貼板其實是蘋果開發者組件中的一個常用類別:UIPasteboard

為什麼剪貼板是所有應用通用的呢?其實這也好說,剪貼板的作用其實就是臨時存儲圖片或文字,以便用戶在跨設備,或者跨應用粘貼時迅速提取到已複製好的內容。因此有必要設計成所有應用程序都可以輕易將內容存進去,或者取出來。

正常來說,開發者將圖片和文字複製後,這些內容就會進剪貼板裏。以下圖中的文字為例,當我們點擊複製按鈕時,這段文字便會存入剪貼版中。實現代碼如下:UIPasteboard.general.string = "不平庸,喜歡高質量且優秀的設計,致力於打造提升生活品質的好物。"

當用戶想把剪貼板的內容提取出來時,一般會明確點擊一個按鈕,比如粘貼。當檢測到粘貼按鈕被點按時,程序員會用這樣一段代碼把剪貼板中的文字提取出來,並放在文本框中。實現代碼如下:textfield.text = UIPasteboard.general.string。這本一直風平浪靜,直到 iOS 14 新增了一個功能,當應用程序從剪貼板粘貼出內容時發出提醒,如下圖中,當我點擊粘貼按鈕後出現此提示。

這個提醒的用途,便是明確告訴用戶,哪一個應用,在這個時間裡獲取了你的剪貼板中的內容。於是乎一些在不正常時間,沒有明確理由,非用戶操作便訪問用戶剪貼板數據的應用就暴露出來了。這次曝光的應用偷竊剪貼板信息有如下兩種情況:

第一種情況:以抖音為代表的,在用戶輸入時粘貼剪貼板信息。有些人在這裡感到困惑,認為抖音是在監聽用戶正在輸入的內容,實則不然。抖音是使用了文字編輯通知 textFieldDidEndEditing(_:) 這個文本框自帶的通知功能,在用戶編輯的文字變更時,將剪貼板的文字複製出去了。具體表現就是下圖中的每輸入一個字便會觸發一次剪貼板粘貼。

第二種情況:是以主流應用為代表的,每次切換應用時進行監聽。這類的剪貼板監聽是在應用程序變成前臺應用時觸發。即開發者使用了應用進入前臺通知 didBecomeActiveNotification 這個函數時。在每次該應用變為前臺應用時,竊取剪貼板信息。

講了這麼多你也許會好奇,粘貼出來的文字去哪裡了呢?為什麼要盜竊剪貼板信息?本文的後半段,我們從開發者,設計者和廣告聯盟的角度來討論信息可能的去處。注意:我不對以上兩種情況對號入座,大家可以自行判斷。

開發者的角度:經過這幾天我對開發者羣體吐槽的觀察,確實存在開發者編碼不嚴謹導致誤觸發這個提醒的無心之失。這些開發者想要貼板中是否有內容,於是用了先粘貼出來的方法,然後判斷粘貼出的東西是否為空,最後決定是否需要執行某些操作。這種情況沒有任何信息的泄漏,純粹是開發者對框架不熟悉所致。正確的方法是用 .hasStrings 來直接詢問剪貼板中是否有內容,即不會侵犯用戶隱私,也不需要粘貼內容出來。

產品設計者的角度:在產品規劃之初,設計產品的人都會被要求做一些潛在客戶的畫像。下圖的中的小哥,這些畫像是對產品潛在典型用戶的描述。比如你設計了一款幫助藝術家找工作的軟體,客戶畫像可能就是剛畢業的大學生,25 歲左右,喜歡靜物寫生這樣的。

這類客戶畫像本不應涉及任何隱私問題,直到部分動了邪念的軟體開發商開始思考一個深入靈魂的問題:如果我們用用戶的真實信息來做用戶畫像怎麼樣?我們對用戶瞭解的越多,就越可能知道他的喜好,建立更真實的用戶資料庫。明著問用戶要他們肯定不給,那就悄悄的來,去偷用戶的輸入法內容,去偷用戶的剪貼板。

在 iOS 端,蘋果鼓勵大家用自帶的輸入法來防止輸入法內容被偷。不幸的是,這類明著偷用戶剪貼板內容的行為,曾經沒有任何辦法禁止,甚至無法去判斷廠商曾經偷了這些信息去做什麼。這些數據大多是直接傳回廠家自己的伺服器,之後做了什麼無從得知。因此應用商店審核流程對此類隱私泄露毫無辦法。

更可悲的事實是,當你登錄一個軟體後,硬體提供商苦心設計的所有為了保護你的隱私的方法都什麼用了。這些保護隱私的措施是建立在儘可能混淆你的身份,讓別人看不出你的基礎之上。當你登錄後,便等同於自己出示身份證,來幫助此應用的嘗試建立對你的用戶分析的資料庫。這些資料庫大多數時候都被用作一個很樸實,卻又特別吸金的事情上:廣告。

廣告聯盟的角度:在過去,你也許會擔心某個應用程序偷走了你的信息。但現在,你手機中的許多應用程序都有了統一的主腦,這就是廣告聯盟。

在軟體開發過程中,開發者幾乎都會用一些別的已經寫好的模塊添加進自己的程序中。我們把這個流程叫做「避免重新開發車輪」。而這些模塊的提供者,很多都是巨頭,比如臉書。每個使用這些模塊軟體,就不得不默認授權了你的部分隱私被大公司拿走。無論安卓,iOS,都一樣,無法避免。

這就是大家為什麼會發現,我明明沒用這個軟體查詢這些內容,為什麼其他廣告公司也知道我的信息了呢?這往往不是軟體的原開發者泄露的你的信息,而是這些第三方模塊的擁有者在倒賣這些信息。還記的上個月有個新聞,臉書的一鍵登錄出了故障,所有內嵌臉書登陸選項的應用都同時出現了閃退的情況。即便你沒有使用臉書登陸,臉書的代碼也依舊在後臺執行了。使用了廣告聯盟模塊的軟體往往會出現非常一致的行為,特別像上文中的一種情況。

你的詳細信息,可以被與你無關的人隨意選擇。為了讓你廣告聯盟瞭解你的程度有一個感知,我截取了谷歌廣告聯盟中廣告主可以選擇的用戶範圍。做為廣告主,可以選擇用戶的所在地,婚姻狀況,有幾個孩子,受教育程度,平時喜歡瀏覽產品的類別,喜歡訪問什麼類型的網站,收入水平,興趣愛好。它對你的瞭解之深,甚至可以精確到上一秒,你討論了什麼話題。

可能你自己都沒意識到:

曾經家裡來了賊,悄無聲息的,偷走了你的隱私。

------------

一些你可能感興趣的其它文字:

從 iOS 遊標設計看蘋果的設計理念?

www.zhihu.com圖標ARM 的硬體革命?

zhuanlan.zhihu.com圖標做手寫筆記的設計思考?

zhuanlan.zhihu.com圖標

我正在製作 iOS 開發的系列教材,希望能給感興趣的人講清大局。本教程會從設計與開發開始,一直討論到應用上架後的宣傳。若你感興趣可以添加我的微信:caryota 並註明 iOS 教程


在今年的WWDC上,蘋果方面公佈了全新的iPhone系列產品新版操作系統iOS 14,並加入了應用庫、畫中畫,以及桌面小組件三大新功能。其中蘋果版的「小程序」的加入,也更是讓外界認為,iOS與Android的互相學習借鑒已經是日益增多。

不過在首個公開測試版本中,有已經搶先體驗的用戶發現,iOS 14在隱私管理上還有一個官方在WWDC上沒有多談的新特性——隱私提醒功能。例如當應用讀取剪貼板中的數據時,該功能就會在應用頂部顯示類似「XXX Pasted From XXX」的橫幅提示。

儘管蘋果在iOS 14上新增的這項功能,僅僅只能起到提示的作用,並沒有增加隱私開關,也不能禁止應用讀取剪切板,因此用戶除了卸載應用之外,就只能看著打開某些應用就被高頻次讀取剪切板。而在這其中,在海外市場市佔率頗大的TikTok也受到了眾多網友的吐槽,有網友在社交媒體上表示,在TikTok的評論區中輸入文字的時候,會一直不停彈出讀取剪貼板的通知。

顯而易見,如此高頻率讀取剪貼板內容,很容易給人一種TikTok在監控自己聊天內容的感覺。在如今APP對於系統許可權的索取已經成為了越來越敏感的話題情況下,超範圍索要許可權的APP儼然已經是人人喊打的局面,因此TikTok的這番做法也觸動了海外網友關於個人隱私的敏感神經。

對此TikTok方面表示,「訪問剪貼板內容通知對於TikTok來說,這是由一項旨在識別重複垃圾郵件行為的功能。我們已經向App Store提交了該應用的更新版本,刪除了反垃圾郵件功能,以消除任何潛在的誤解。TikTok致力於保護用戶隱私,並對我們的應用程序如何運作保持透明。」

對於TikTok方面給出的Anti-spam(反垃圾信息),就是其反垃圾策略是在打開應用後,剪貼板內依然有內容的賬號會有一定概率是發布垃圾內容的機器人。這種邏輯確實很符合目前機器人水軍大量通過腳本來實現複製粘貼批量輸出垃圾內容的現狀,但不可否認的是,這一策略過於「一刀切」,並且很容易傷及無辜。

儘管剪貼板相比於智能手機上的其他功能來說顯得很不起眼,但這一功能其實是個很重要的信息中轉站,是用來臨時存放交換信息的臨時存儲區域,能夠通過其在各個「孤島」間架起的「橋樑」,使得在各應用程序之間傳遞和共享信息成為可能。

換個角度來看,應用讀取用戶的剪貼板是為了什麼呢?以國內市場為例,如今剪貼板在手機中應用最為典型的例子就是淘口令和抖音口令了。由於眾所周知的原因,微信方面禁止了淘寶與抖音的分享功能,導致二者只能通過解析剪貼板複製的自家數據格式來跳轉到對應商品或者視頻,這也是淘寶/抖音方便用戶的曲線措施。

當然,除了淘口令等富有地域特色的功能需要之外,就像此前某些APP索要通訊錄、簡訊,以及相機等許可權一樣,也不能排除某些APP是有著自己的小九九的。比如說用剪貼板的信息補完用戶畫像或提取關鍵詞,用以向用戶推送廣告。

且不提很多用戶經常使用剪貼板複製類似電話號碼、賬號密碼,及銀行卡號等等重要且敏感的內容,就單說使用複製黏貼來分享有趣的新聞、被種草的商品,以及搞笑的圖片,在如今大數據應用極為普遍的今天,所謂廣告的精準投放比拼的就是用戶畫像的精準度,凡是能夠提升用戶畫像精度的信息,對於廠商來說顯然都是如饑似渴的需求。

事實上除了主動嗅探之外,很多時候APP針對剪貼板上的內容,是本著送上門的信息不拿白不拿的心態。由於剪貼板存儲內容的回收機制,正常情況下用戶要複製粘貼的內容是為了將信息提供給某個特定的APP,但在複製粘貼發生之後,被複制的內容依然會存在於剪貼板中沒有被刪除,因此當打開另外一款應用時,這款應用依然能夠獲取到剪貼板上的內容。外界有觀點推測,這或許就是所謂從來沒有在微信上討論過XXX,但是朋友圈卻出現了XXX相關廣告的一種可能性。

歸根結底,即便APP沒有存著獲取用戶信息的心思,但高頻率的讀取剪貼板內容也難免會有「瓜田李下」的嫌疑。畢竟不論有沒有做剪貼板數據的收集或者分析,這種行為都會讓用戶恐慌,而TikTok近期在海外市場遭遇的輿論反彈,其實就很能說明問題。

從Android Q限制了所有第三方應用訪問剪貼板的許可權,到如今iOS 14在屏幕上提醒用戶的做法來看,無論是谷歌還是蘋果顯然都不認為隨意讀取剪貼板是合理的行為。畢竟作為有著鮮明工具屬性的剪貼板功能,原本並不應該承擔這麼複雜的用途。


流氓都給照出來了,哈哈哈

我剛打開某app,隨手打開一個內容,滑動沒兩下,我的相冊就被獲取了,這不但是未經許可的行為,也是沒有任何提示的後臺操作 獲取來做什麼,用戶也無從得知,呵呵


這是pc時代就有的操作了,也是各家常規操作

畢竟這個時代最值錢的是流量,流量是需要變現的思考:有了流量後互聯網公司如何變現呢?或者更直白的說,如何利用流量賺錢呢?某些軟體的月活可是過億了,這可以一塊非常大的蛋糕最簡單的辦法就是廣告推廣

///10年豆瓣的廣告收入好像就達到千萬級別了///而對一個平臺所有人都推送植髮廣告的操作,未免太差火了效率不高,而且是非常讓用戶反感的

這時候,就需要專門的優化了例如,你搜索了紙尿褲,那我就定向給你推奶粉你搜索SM,我就 給你推皮鞭,咳咳,口誤口誤,皮衣
SM娛樂公司官網

廣告收入佔互聯網公司營收的相當大一塊

例如最近比較火的騰訊老乾媽事件,廣告費就達到了1600多萬這塊也是無數互聯網公司夢寐以求的信息服務

市面上也有專門做這些的公司

一句話,他知道你輸入什麼

並不是要理解你幹什麼,那這樣需要海量計算,技術實力大部分也達不到主要乾的,就是關鍵詞喚醒,例如sm召喚皮鞭,尿不濕召喚奶粉精靈球召喚寶可夢召喚了之後定向對你投送廣告///關鍵詞喚醒,例如,hi,siri,hi,艾希,hi,小愛同學.....那麼可愛的你肯定又要說了,這樣有效果嗎???誒,你還別說,真有例如你在王者榮耀充過錢沒有?我敢說,遊戲裡面絕大部分的人,是沒有滴

但是騰訊timi會設計各種好玩的活動,各種周邊,來刺激滲透誘導你來消費假設之前是2%的玩家消費10億元只要你把滲透率加到4%,那就是20億元也就是隻要你獲得更多,更優質的流量,商業價值也就會越高ps:更多,更優質這兩個指數,也並不一定是有先後順序的當然,如果你
全都要

賺的只會更多

但是細分一個領域,做到優質,也可以上市敲鐘例如什麼值得買有點像在上互聯網營銷課了,打住打住,介紹下相關新聞就行了

下面截取一些新聞,信息來源於網路

註:以下新聞均百度可見,還沒嘗試其他搜索引擎管中窺豹吧新聞一:PC時代,2015年全球知名安全公司McAfee實驗室日前在其官方博客上稱,其研究人員發現搜狗輸入法收集並上傳用戶設備信息,且利用明文HTTP傳輸用戶的個人信息和企業數據,這很容易導致信息被黑客截取。McAfee實驗室表示搜狗輸入法此舉匪夷所思,並呼籲其在安全開發週期中修補這些漏洞。

以下是McAfee博客內容全文:

搜狗是一款流行的中文輸入法軟體,宣稱有超過4億用戶。用戶拼音輸入時,搜狗輸入法可以給予提示,用戶無需拼出所有字母就可以打出文字,簡化了用戶輸入。(比如在輸入「你好」的拼音「nihao」時,用戶打出nh就可以出現所需文字選項。)

我們對一款輸入法可能就需要這麼多吧,這也是我們在Windows 7電腦上安裝這款軟體的原因。

但是,當我們通過USB介面將一部iPod連接到安裝了搜狗輸入法的Windows 7電腦,這時在數據包抓取工具Fiddler上會發現以下信息:

乍看這些信息可能會不以為意。但我們會有這樣的疑問:為什麼一個輸入法軟體需要蒐集這些信息:用戶連接一部iOS設備(iPod 5),運行iOS7.0,序列號是「650…」,通過USB介面「USB#ROOT_HUB20#48…」與電腦連接。

當研究人員連上一部Android手機時,Fiddler蒐集到類似的信息:

這種情況下,收集用戶的設備信息實在讓人感到意外。一款輸入法軟體收集這些信息更讓人感到匪夷所思。

更嚇人的是這些信息明文HTTP傳輸,這無疑會吸引黑客截取這些數據,要知道當今世界布滿了惡意的移動熱點。我們呼籲應用開發商(搜狗)能在安全開發週期中修補這些漏洞。註: Fiddler是一款強大的數據包抓取軟體。它通過代理的方式獲取程序http通訊的數據,可以用其檢測網頁和伺服器的交互情況。McAfee曝搜狗輸入法竊取用戶數據並通過明文傳輸|藍點網?

www.landiannews.com圖標

新聞二:

Sina Visitor System?

weibo.com

MIUI12好像是沒有這個「XXX Pasted From XXX」提示的

蘋果某些方面確實比安卓做的好

例如刷微博的時候,有些廣告可以直接喚起支付寶,並且進入頁面

蘋果最多喚起應用商店,想要喚起其他軟體會彈出消息框,微博想要打開"支付寶"

讓你點同意或者關閉

小米10 雙模5G 驍龍865 1億像素8K電影相機京東¥ 3999.00去購買?

Apple iPhone SE (A2298) 128GB 黑色 移動聯通電信4G京東¥ 3799.00去購買?


其實在 iOS 13裏打開handoff,在mac上複製文字並在iPhone上打開app,就可以看到眾多app會自動粘貼剪貼板的內容

資源不存在
推薦閱讀:
相關文章