硬核测试:50个主流App,41个都在“偷看”你的剪贴板( 二 )
对App来说 , 剪切板是一个很好的工具 , 比如淘宝和抖音的链接被微信拒之门外后 , 他们就利用口令、二维码等形式来实现跳转 。 抖音和淘宝都会先识别 , ,有自家的特殊标识的会上传云端匹配相关视频或商品 , 返回结果给用户 。 如果没有对应结果 , 用户就感知不到这一行为 。
02
二次粘贴才是最大的风险
“二次粘贴才是最大的风险 。 ”民间互联网安全组织网络尖刀创始人曲子龙指出 , 剪贴板最大的潜在风险不是第一次复制粘贴 , 在日常生活中 , 第一次复制粘贴的内容大部分都是为方便用户提供信息给App的 , 真正的风险是用户复制了内容粘贴到A应用之后 , 复制的内容并没有被回收 , 打开B应用时该内容仍然可以被获取到 , 从而造成敏感信息的泄漏风险 。
值得一提的是 , 上述几次测试结果都是在二次粘贴的测试环境下得出 , 《IT时报》采访人员先在备忘录这个App中完成复制和粘贴两个动作 , 再打开50个App查看是否有安全提醒 。
同时 , 《IT时报》采访人员做多次粘贴测试发现 , 在运行iOS 14测试版的iPhone上 , 基本上 , 跨App粘贴20次后 , 该复制内容会失效 , 无法再粘贴 。 但每次次数略有差别 , 以此推断可能跟时间相关 , 每隔一段时间 , iPhone会清空一次剪贴板 。
文章图片
在敏感信息回收这点上银行系App做得较好 , 当复制粘贴银行卡账号后 , 再登录银行类App , 多家银行都会出现一条提示:“您是否需要向银行卡(账号)转账” , 包括工商银行、招商银行、邮储银行、浦发银行、上海银行等都有此功能 。
所幸的是 , 你在一家银行完成取消或转账这个动作后 , 再登录其他银行App就不会再出现这条提示 。
03
小米对标iOS 14
照一照面具下的安卓应用
小米MIUI 12系统升级了隐私保护功能 , 这个功能比iOS 14的提醒更到位 , 被手机圈认为是流氓软件的克星 。
只要App调取用户个人信息 , 小米这一功能便会提醒 , 同时返回一个“空白通行证” , 一定程度上解决了“不给权限不让用”的问题 。
文章图片
于是 , 《IT时报》采访人员利用小米隐私功能测试了上述50款App的安卓版 , 也只有11个App是不主动读取剪贴板的 , 分别是微信、国美、亚马逊中国、知乎、微众银行、饿了么、美团外卖、叮咚买菜、58到家、携程和滴滴出行 。
不主动读取的安卓应用比苹果应用还略多一些并不能说明安卓比苹果更安全 , 因为从读取次数来看十分触目惊心 , 有部分安卓应用甚至在两分钟内读取了20次剪贴板 。
文章图片
从苹果和安卓的对比测试可以看出 , 在国内 , 读取用户剪贴板是一个非常普遍的行为 。
“要看有没有实际侵权 , 还要看App读取剪贴板后会不会上传并留存用户个人信息 。 ”曲子龙说道 。 这就相当于构成个人信息收集行为了 。
那么如何界定是否侵权?根据《App违法违规收集使用个人信息行为认定方法》第三条第1点 , 征得用户同意以前就开始收集个人信息 , 可认定为“未经用户同意收集使用个人信息”;第四条第1和第3点指出 , 收集的个人信息类型与现有业务功能无关 , 收集个人信息的频度等超出业务功能实际需要 , 可认定为“违反必要原则” 。
推荐阅读
- |青莲云正式发布青莲安充-充电桩设备测试平台
- 教育|沉迷游戏要跳楼民警硬核教育:“在窝里横很威风是不啦?”
- 设计|三星,柔宇,华为:折叠屏手机内外折的硬核之争
- |检验检测产业繁荣 谱尼测试步入发展快车道
- 硬核|吓!母女被困电梯4天3夜,最后硬核求生……
- 口罩|助力全球抗疫 深圳三诺为战“疫”注入硬核科技力量
- 经济日报-中国经济网 陈梦宇|凭技术硬核走出国门 比亚迪加快国际化步伐
- 纤秀健康|心理测试: 你觉得哪扇门后面会找到幸福, 看最心疼你的人是谁
- 抗癌力|小测试:夏日水果中的抗癌秘笈知多少
- 数学|六年级数学广角―鸽巢问题到底有多难,一份单元测试卷告诉你答案