Apple 在 WWDC2020 介紹 iOS 14 後,翌日(23 日)凌晨就發佈了 iOS 14 Beta,而其中一項新加入的功能「Paste Notification」更令使用者發現,某些 App 似乎會偷看用戶的剪貼簿資料,更會在用戶每輸入三個字就把資料傳送給伺服器。如果你習慣了將重要資料 Copy & Paste 就要留意。
Emoji 資料庫平台 Emojipedia 的 CEO Jeremy Burge 在 Twitter 平台發文,指中國的影片 APP TikTok 似乎會在用戶每輸入 1-3 個字詞時,就「盜取」用戶的剪貼簿(Clipboard)數據。
https://twitter.com/jeremyburge/status/1275834326513573888
他其後上傳一段屏幕錄影,指 iOS 14 新加入了 「Paste Notification」功能,當使用者在 A 程式上複製文字並貼上至 B 程式後,就會收到系统通知,提示用家該 APP 讀取了剪貼簿。而在 Jeremy Burge 嘗試複製了文字並開啟 TikTok 留言打字後,iPhone 會不停彈出通知,指「TikTok pasted from Instagram」,即 TikTok 一直在背後讀取用戶的剪貼簿數據。
https://twitter.com/jeremyburge/status/1275896482433040386
TikTok 其後向英國《每日電訊報》發出應指,他們的系統具有自定義系統識別多次重覆發送的垃圾留言,此功能觸發了 iOS 14 剪貼簿功能被讀取警報。TikTok 指他們會盡快向 App Store 提交刪除該功能的版本以解決問題。TikTok 強調他們致力保護用戶私隱,並一直提高服務運作方式的透明度。
然而 TikTok 未有說明 Android 版手機應用程式是否同樣會停止讀取用戶的剪貼簿,也沒有透露除了識別垃圾郵件外,是否將用戶剪貼簿資料用於其他用途。外媒《每日電訊報》(Telegraph)亦遁類似方法,發現 AccuWeather、Overstock、AliExpress、Call of Duty Mobile、Patreon、Google News 服務都有未經許可讀取用戶手機剪貼簿內容的行為。
而其後一名台灣 iOS App 開發者皮樂,就為現時常用服務進行同類型測試,他發現 Facebook、微博、淘寶、QQ、百度以及動畫網站 Bilibili 都有對用戶剪貼簿內容作出「竊看」,當中 Facebook 同 Tiktok 更會在用戶輸入文字要選字時,自動傳送用戶輸入的內容。這位開發者建議使用網頁版服務,以避免開放太多權限的手機 App,但留意網頁輸入欄位都有竊聽用戶輸入文字的情況發生。
資料來源:Jeremy Burge Twitter, Facebook (Hikaru), Telegraph