酷应用

热点追踪| App读取剪切板，意味着什么？

百家作者：甜橙安全应急响应中心 2020-07-01 17:56:48

最近苹果iOS 14新增的隐私功能中，加入了对App读取剪切板内容的提示，有人在试用iOS 14发现，Tiktok、chrome浏览器、CNN、Google News和星巴克都有读取用户的剪贴板的行为，引发了对隐私保护问题的热议。当然，这并不是iOS系统中才出现的现象，在安卓手机中，有安卓操作系统也支持对App的剪切板使用进行提示和用户授权，网友也因此发现很多App存在类似的读取行为。

有网友说，在日常使用手机的过程中，剪贴板难免会存下一些重要的信息，比如快递的收货信息、电话、身份证号码、邮箱、短信验证码、照片、视频，甚至是账号及密码信息，如果剪切板被读取，那岂不是“隐私尽失”，非常危险。到底App读取剪切板，意味着什么，有什么样的风险？本文将一一答疑解惑。

一、App为什么会读取剪切板？

众所周知，“剪切”“复制”“粘贴”等操作是最普通不过的用户需求，是操作系统诞生以来一直存在的基本功能，而剪切板便是为支持这样基本功能的一种通行机制。如今，“剪切板”不光可以为用户省去反复打字等繁琐的操作，节约时间提高效率，App也在频繁使用其机制以提升功能机制的智能化，大家熟知的便有一些对分享链接、口令码的自动识别。

如今，出于商业竞争等原因，事实上部分App之间并无法真正意义上支持用户的跨平台互操作，因此，剪切板反而成为了跨App操作中承载数据互通的桥梁，用户将其需要查找、转载、发布的文字、链接、图片、音视频剪切、复制后，打开另一个App后即可使用，这种最原始的方式反而最后达成了跨平台操作的目的。

由此可见，App读取剪切板，其实很多时候源于用户的自身需求，但是，剪切板的设计机制，又不排除该机制被“滥用”的可能。

二、剪切板基本原理

剪切板实际是IOS系统或者Android系统中一个对开发者开放的API接口，在Android系统中以Clipboard接口的形式展示，在IOS系统中以UIPasteboard接口的形式展示。

Android系统

Android剪切板框架主要涉及到ClipboardManager、ClipData、ClipData.Item、ClipDescription这四个类。如下图所示。

ClipboardManager 是Android系统全局的剪切板对象，通过context.getSystemService获取。

ClipData，即clip对象，在系统剪切板里只存在一个，当另一个clip对象进来时，前一个clip对象会消失。所以剪切板每次只能保存最新的数据。

ClipData.Item，即data item，它包含了文本、Uri或者Intent数据，一个clip对象可以包含一个或多个 Item 对象。通过addItem(ClipData.Item tem)可以实现往clip对象中添加Item。

ClipDescription，即clip metadata，它包含了 ClipData 对象的 metadata 信息。具体原理如下图：

从以上分析可以看出，想要在不告知用户的前提下获取Android系统剪切板内容，只需要监听并获取clip对象即可。

IOS系统

IOS系统的剪切板分为系统级和应用程序级两种类型。系统级剪贴板，当应用程序关闭，或者卸载时，数据都不会丢失，使用UIPasteboard NameGeneral和UIPasteboardNameFind接口方法创建；应用程序级剪切板，可以让数据在应用程序关闭之后仍然保存在剪贴板中，但是应用程序卸载之后数据就会失去。一般使用pasteboardWithName来创建，下面以系统级剪切板为例进行介绍。

在IOS前端界面中存在UITextView、UITextField、UIWebView三个控件可以复制信息，通过这三个控件复制信息后会触发UIPasteboard剪切板接口，UIPasteboard调用setValue键值对方法存储新数据，同时将原始数据删除。流程如下图所示。

因此，系统级剪切板为达到跨App交互设计目的，事实上允许其他App通过监听或调用接口等方式获取剪切板内容。

三、剪切板的使用方式分析

剪切板使用方式可简单区分为以下两种：

①本地监测

该方式是指App只在客户端本地监听或读取剪切板中的信息。也就是App为了用户体验，需要获取剪切板内容，但并不上传服务器，仅本地化使用。当然，本地化使用的方式不仅限于粘贴内容等基本操作，还可能可以通过下发至App客户端的代码、知识库等自动识别剪切板内容，给用户提供更好的体验。常见的就有自动识别剪切文本中的电话、邮件地址提示用户拨打、发送，智能填写邮寄地址等信息，一些口令码的识别过程也采用了类似的原理。

可见，上述过程事实上并未造成个人信息的上传，在读取剪切板的这个过程中，事实上App不关心用户是谁，只是单纯为了协助用户提升效率和体验。

②与后台服务器互动

但是，在很多场景下，仅靠本地监测方式能实现的功能有限，有些App也可能会采用上传剪切板内容与后台服务器互动的方式。如果上传的内容没有个人信息，就不涉及到个人信息的收集，如果上传的内容涉及到个人信息则可能构成了个人信息的收集过程。

以某些促销活动的口令红包为例，如果说本地完成不了对剪切板中的口令红包真实性的验证，而是采用了上传至云端的方式核验后再向客户端App推送真实性验证结果，同时，剪切板中的口令红包还包含了可被云端识别出用户身份的唯一性ID（包括设备唯一ID或App提供的唯一ID）,则可能构成了个人信息收集行为。从原理来分析，虽然该情形通过了上传方式进行验证，但其实并没有持续留存上传信息的必要性，可以说“上传但不留存”的方式也是一种最小化的体现。

但是，还有一种情况需要严格区分，比如剪切板中本来就是可访问的网络链接，当内容被识别出后，用户访问了链接导致个人信息被上传，事实上属于后续操作，与读取剪切板这个过程无关。

当然，以上情形，是建立在App希望对剪切板功能进行合理使用的前提下，如果App并无明确的业务目的为前提，只是通过“滥用”监听剪切板方式获取个人信息，则显然无合理性可言。

四、从个人信息保护角度的分析和建议

基于上一节对剪切板的使用方式的分析，从个人信息保护角度来看：

首先，本地监测使用剪切板的方式，剪切板内容并未做任何形式的上传，GB/T 35273-2020《个人信息安全规范》对“收集”定义是“获得个人信息的控制权的行为”，而本地化处理的过程则不构成收集。但是，如果App在本地化处理时伴有一些“小动作”或用户自行选择把相关信息进一步处理，比如拷贝后使用在其他目的，转化为画像标签，形成常用联系人清单等时，则有可能又构成个人信息处理行为。如果构成，则需要在收集使用个人信息的规则中予以明确。

其次，与后台服务器进行互动的方式，如果涉及到个人信息的收集过程，向用户告知收集使用规则和征得同意的过程不可避免（比如用户明确获知目的后直接进行下一步操作也属于同意的范畴）。即使使用“仅上传处理但不留存”的方式，建议还是在相应规则中予以明确，避免用户产生误解。

而如果App完全抛弃了为用户提供服务的目的，而是通过“钻空子”方式，在用户未使用该App或其在后台运行中，便监听剪切板并上传了包含个人信息的内容，则显然与设置该功能的初衷背道而驰，属于典型的违法违规收集使用个人信息行为。

《App违法违规收集使用个人信息行为认定方法》第三条第1点指出，征得用户同意前就开始收集个人信息，可认定为“未经用户同意收集使用个人信息”；第四条第1和3点指出，收集的个人信息类型与现有业务功能无关，收集个人信息的频度等超出业务功能实际需要，可认定为“违反必要原则，收集与其提供的服务无关的个人信息”；GB/T 35273-2020《信息安全技术个人信息安全规范》标准中指出，不应隐瞒产品或服务所具有的收集个人信息的功能，收集个人信息需满足最小必要原则，收集的个人信息的类型应与实现产品或服务的业务功能有直接关联，自动收集个人信息的频率应是实现产品或服务的业务功能所必须的最低频率。

如发现App存在上述违法违规收集使用个人信息行为，可向本公众号举报。

五、对手机操作系统提供提示功能的思考

剪切板滥用的问题，确实并非现在才出现，只是因为操作系统将App行为透明度的提升，让其浮现于众人眼前。对于手机操作系统的更新升级，让大家对隐私保护更加有了信心，也会对一些存在不规范行为的App产生震慑，这点显而易见，值得点赞。但是，也伴随着一些新的问题还有待讨论，之前“观察 | 手机操作系统强化隐私设置对今后App个人信息保护带来哪些改变？”已经有所分析，可供参考，在此再结合本案例进行讨论。

第一，对于掌握专业知识尚不足的用户来讲，读取剪切板的提示可能很大程度上会被误以为个人信息已经被违规收集，造成用户对App此种行为产生过多疑惑而“因噎废食”，放弃使用一些便捷化的功能，导致个人信息保护与创新发展平衡的理念未能达成。

第二，个别“别有用心”的人，未做详细论证和技术验证，直接将“读取剪切板”这个表象与违法违规行为划等号，夸大事实，营造话题，以博得眼球，甚至抨击对手，恐怕更与操作系统设置透明化的机制和增强隐私保护的初衷背道而驰，会对全社会科学认识个人信息保护问题造成负面影响。

因此，对于操作系统设置“剪切板”提醒和用户授权的功能，有待业界进一步探讨、观察、优化。比如，是否可仅对后台运行App的读取剪切板行为进行提醒，如何对该功能的解释更加详尽以便用户充分理解，便于做出选择等。

结语

不得不承认，有些时候，便捷和隐私成为系统设计、开发人员始终无法准确把握的命题。而之所以这样，是因为有人会破坏规则，加剧用户的不信任感，最终，便捷的空间会被挤压，隐私也很难让人宽心。如今，当弹窗越来越多，选择越来越频繁时，实际也是在反复拷问我们对于隐私保护的理解和期待。而只有大力挤压违法违规行为的空间，才能促进增进用户的信任感，让便捷和隐私成为双赢的选择。

（作者中国电子技术标准化研究院李海东）

———— / END / ————