日前,谷歌方面正式为部分Pixel系列机型推送了Android 13正式版。尽管今年的Android 13来得比以往更早,但在这一大版本更新中,谷歌为其加入了包括自定义非官方应用匹配已设置主题和颜色、在通知面板加入新的权限管理、提供新的选项来限制应用访问相册和视频、加入提高APP性能和效率的可编程着色器,以及ART优化等诸多新功能。
在Android 13中有一项看似不太起眼、但又很重要的新特性,则关乎几乎每一位Android用户的隐私,即会在一定时间后自动清理剪贴板中的内容,从而确保恶意APP无法访问这些用户信息。对此,谷歌方面表示,“此举是为了阻止预期外的剪贴板访问。如果你在设备上复制了诸如邮件地址、手机号码、登录凭证等敏感信息,Android将会在一段时间后自动清理剪贴板历史。”
并且根据目前的相关测试结果显示,Android 13中剪贴板信息的清理间隔,将以1个小时为基准展开。
然而在Android林林总总的相关功能里,相比通讯录、短信、麦克风、摄像头、存储、通话记录、GPS定位等等广大用户熟知的敏感功能外,无论谷歌还是手机厂商在过去的很长一段时间里,多多少少都忽视了向用户普及剪贴板功能的敏感性。
当初,在iOS 14更新隐私提醒功能的时候,火遍全球的TikTok就曾因为出现了在评论区中输入文字时,系统会不停弹出读取剪贴板通知的现象,从而被大量用户质疑。彼时TikTok方面给出的解释,是高频率访问剪贴板是一项旨在识别重复垃圾邮件行为的功能所带来的附加效果,此事最终也以TikTok删除反垃圾邮件功能,以消除用户潜在误解而告终。
然而,广州互联网法院在去年年末的一次判决,却将部分无良APP通过剪切板获取用户隐私信息的情况暴露了出来。对于不甚了解的用户来说,可能会不理解APP是怎么利用剪贴板拿到个人隐私的,毕竟更熟悉的APP超范围获取用户隐私,往往是通过关联着个人社会关系的通讯录、短信,关联用户当下所处位置的GPS定位等功能。
剪贴板在智能手机中最为常见的应用,可能是手机厂商开发的“自动填充验证码”功能,由于短信验证码被广泛使用,以及验证码的随机性,所以为了减少用户的操作步骤,无论MIUI、EMUI,还是iOS都会通过将短信验证内容复制到剪贴板,让相应的数字自动出现在输入法的候选区中,免去了用户打开短信以及来回切换APP的烦恼。
当然,剪贴板真正的作用可不止如此。剪贴板最为核心的功能其实是用来临时存储信息,能够串联起孤岛化的APP,并借助这一中转站在Android和iOS的不同APP间传递和共享信息。其中典型的例子,就是在互联互通之前的淘口令、抖音口令了。由于众所周知的原因,微信此前禁止了淘宝与抖音的分享功能,导致用户想要在微信里分享淘宝中的商品或是抖音视频,需要借助一串类似火星文的乱码来实现。
淘口令的真实作用其实是通过复制操作,将用户需要的信息会从淘宝导入到剪贴板中,在微信上进行粘贴操作时,数据会再从剪贴板导入到微信。只可惜在鱼龙混杂的Android生态里,类似淘宝、抖音这样背靠巨头的优质APP是少数,相当多的开发者为了挣钱可谓是无可不用其极。
彼时,支付宝方面推出扫码领红包活动时就曾被曝出,有不少无良APP会往剪贴板里写入开发者自己的红包代码,用户一旦打开支付宝就会马上跳转到领红包的界面,这时候开发者就会借助用户来实现薅支付宝羊毛的效果。据当时的相关传言称,某工具类APP的开发团队用这个方式甚至实现了月入百万。
剪贴板最大的危险,就正是在于所有APP都有理由访问,并且在Android 13之前,剪贴板中的内容是会一直存在到用户执行下一次复制操作为止。显然这是极其危险的,不仅会导致用户有被APP监听的可能,更重要的是如果复制的是类似银行卡号、支付验证码等敏感信息,一旦不幸下载了恶意APP,可就真的会有真金白银的损失。
目前iOS的做法,就是用通知的方式来告知第三方APP访问剪贴板这一行为,但访问剪贴板又是许多APP实现相关功能的基础,而且缺乏相关知识的用户也无法判断APP的访问到底是善意还是恶意的。相比之下,Android 13的做法就显得更有普适性,由于绝大多数用户对于剪贴板功能都是即用即走,那么以1小时为单位周期性清理剪贴板,即兼顾了用户隐私保护,又不会破坏用户体验。
【本文图片来自网络】