Apple在WWDC2020介绍iOS 14后,翌日(23日)凌晨就发布了iOS 14 Beta,而其中一项新加入的功能“Paste Notification”更令用户发现,某些App似乎会偷看用户的剪贴板资料,更会在用户每输入三个字就把资料发送给服务器。如果你习惯了将重要资料Copy & Paste就要留意。
Emoji数据库平台Emojipedia的CEO Jeremy Burge在Twitter平台发文,指中国的视频APP TikTok似乎会在用户每输入1-3个字词时,就“盗取”用户的剪贴板(Clipboard)数据。
The alternative possibility is TikTok stealing what is on my clipboard every single time I type a keystroke.
I don’t have a way to know for sure. Thought it worth putting out there.
—Jeremy Burge (@jeremyburge)June 24, 2020
他其后上传一段屏幕录像,指iOS 14新加入了“Paste Notification”功能,当用户在A程序上复制文本并粘贴至B程序后,就会收到系统通知,提示用户该APP读取了剪贴板。而在Jeremy Burge尝试复制了文本并打开TikTok留言打字后,iPhone会不停弹出通知,指“TikTok pasted from Instagram”,即TikTok一直在背后读取用户的剪贴板数据。
Okay so TikTok is grabbing the contents of my clipboard every 1-3 keystrokes. iOS 14 is snitching on it with the new paste notificationpic.twitter.com/OSXP43t5SZ
—Jeremy Burge (@jeremyburge)June 24, 2020
TikTok其后向英国《每日电信报》发出应指,他们的系统具有自定义系统识别多次重复发送的垃圾留言,此功能触发了iOS 14剪贴板功能被读取警报。TikTok指他们会尽快向App Store提交删除该功能的版本以解决问题。TikTok强调他们致力保护用户隐私,并一直提高服务运行方式的透明度。
然而TikTok未有说明Android版手机应用程序是否同样会停止读取用户的剪贴板,也没有透露除了识别垃圾邮件外,是否将用户剪贴板资料用于其他用途。外媒《每日电信报》(Telegraph)也遁类似方法,发现AccuWeather、Overstock、AliExpress、Call of Duty Mobile、Patreon、Google News服务都有未经许可读取用户手机剪贴板内容的行为。
而其后一名台湾iOS App开发者皮乐,就为现在常用服务进行同类型测试,他发现Facebook、微博、淘宝、QQ、百度以及动画网站Bilibili都有对用户剪贴板内容作出“窃看”,其中Facebook同Tiktok更会在用户输入文本要选字时,自动发送用户输入的内容。这位开发者建议使用网页版服务,以避免开放太多权限的手机App,但留意网页输入字段都有窃听用户输入文本的情况发生。
