86 thoughts on “升了 iOS14 才知道,国内这些 LM APP 90% 以上都在偷窥用户的剪贴板

  1. 讲道理,大厂基本都是正常使用,做一些诸如口令码,推广信息存储(就是让你下载 app 领积分的那种)等。这是 iOS 系统限制,只能用这种取巧的方式实现。纯粹的读取并上传到云端的 app,我是不知道是啥心态,能干啥。

  2. @eGlhb2Jhb2Jhbw 这个病态分享方式出现的原因是各家的 IM 互相封锁对方的产品,最终导致了用户体验极差。iOS 的锅在哪?

  3. @abirdcanfly #17 如果做一个安全级别很低的公共区域,给各个 app 提供数据交换的地方,专门存放一些跨 app aff 之类的数据,随意占用粘贴板的 app 就会少很多。

  4. @eGlhb2Jhb2Jhbw #18 然后各大厂更方便的利用公共区域交换用户的隐私? iOS 搞这么多限制就是为了限制 APP 获取隐私,让用户有绝对知情权,android 一开始什么都不限制,随便公共区域,后台常驻,甚至互相唤醒,结果现在安卓国产 APP 什么样子,iOS 下只要是自家的 app 互相共享数据是不受限制的,而且剪贴板在这里就是一个“公共区域”,iOS14 以前也没感觉,现在给你放明面了才清晰的感觉到各大 APP 私下里对公共区域的隐私有多不尊重,这就是安卓下国产 APP 的现状甚至更过分

  5. @eGlhb2Jhb2Jhbw 这是微信的限制,很多应用不能分享链接。你从淘宝跳支付宝、抖音跳淘宝自然不用复制一段火星文这样的变态方式。

  6. @Mitt #21 也是,会有你说的情况。我说的只是一种能想到的办法,并不一定完美。因为粘贴板就不是为了获取公共信息的地方,难免会有获取到用户复制的自己的隐私信息,我的思路只是把这类信息区分开而已,确实有不足。

  7. @gaoyx416 #23 咱俩说的就不是一个场景,没有口令功能的 app 读取粘贴也是一个劲的弹。

  8. @gaoyx416 #24 scheme 只能安装了 app 以后用,并且是属于数据 push,而不是 get,很多场景和功能 scheme 是不够用的。

  9. @ufo22940268 #29 做不到,只能先拿到,看不是自己的口令的话,就抛弃掉(如果有良心的话)

  10. @abirdcanfly #17 @gaoyx416 #23 我明白了,是我在三楼说的第一句话和第二句话感觉比较连贯给你们会错意了,虽然中间有句号。我想表达的意思是,读取粘贴板这类问题的根本是 iOS 系统没有一个完整的跨 app 交换信息的功能,支付宝口令问题就算解决了,也还是会有很多 app 读取粘贴板。并不是给 wx 开脱,wx 做法就是有问题,但不是说的“90% 以上都在偷窥用户的剪贴板”都怪 wx 。

  11. 我给毒瘤程序的剪切板权限是“读→询问 or 拒绝”,“写→仅前台允许”。
    例如淘宝什么的,复制订单号、商品分享链接等等,需要写入剪切板,但读取的话大部分毒瘤程序我一般都会拒绝,我不需要那些什么淘口令,我只认商品页面链接,淘口令网上有很多解析网站。
    不过事实上毒瘤程序利用各种办法让自己处于后台情况下依然被系统判定为“前台”,照样能拿到一些前台专属权限。

  12. 有一个笨方法:
    打开辅助功能的轻点背面,设置两下打开快捷指令复制文本。
    快捷指令随便写点东西。https://i.loli.net/2020/09/23/DQ2Yj41eahgJINW.jpghttps://i.loli.net/2020/09/23/gvW7JVpi1YLjKA5.jpg

  13. @ftu #38 微信是好像没有读的场景,支付宝是因为新系统就把剪贴板默认关闭了,给了个开关在设置里

  14. 这不是流氓,这是流氓打架。国产 app 互相封杀跳转,要想打开链接只能用这种复制黏贴的方式。

  15. Discord 切换过去就读取剪贴板,Linkedin 每打一个字都要读一下。其他的包括 NPR 、Fox News 、Bejeweled 和 Fruit Ninja 也都有类似“不必要读取剪贴板”的行为。我不是说无端读取剪贴板是非常正常的事情。但是就以为部分“国内”软件有这种行为就直接开骂国内“流氓软件”未免有些急躁。

    另外,流氓这词能打出来,不用当谜语人。

    来源:
    https://arstechnica.com/gadgets/2020/06/tiktok-and-53-other-ios-apps-still-snoop-your-sensitive-clipboard-data/

  16. @eGlhb2Jhb2Jhbw 基本没什么对用户真正有用的功能需要存储信息的,绝大多数通过 scheme 就能实现。想在 iOS 上做推广下载 App 在 iOS 上本来就是取巧

  17. @eGlhb2Jhb2Jhbw
    如果没有安装 app,是不是也就没有什么公共存储空间的需求了,毕竟 app 都还没下呢。求解什么场景和问题是 scheme 解决不了的

  18. 看见楼上,动不动说国外,感觉很搞笑!就因为国外流氓?国内流氓就政治正确?说国内流氓软件有问题?偏要比差?都是在怎样的教育体系下才能培养这样优秀的外交人才

  19. 看见楼上,动不动说国内,感觉很搞笑!就因为国内流氓?国外流氓就政治正确?说国外流氓软件有问题?偏不能比差?我们的教育体系培养这么多“独立思考”的人看来没有一点问题

  20. 没出 ios14 的时候 handoff 就能看出哪些应用在启动的时候读取剪切板了。国内大多数应用都会读,但是美帝良心谷歌的 Chrome 也是读的!!

  21. @jzphx 对的,然后 handoff 还特别慢,会显示一个圈卡住一两秒,所以我就再也不用 iOS 的 Chrome 了。

  22. @eGlhb2Jhb2Jhbw 然后 app 就利用这个共享区域跨 app 跟踪用户信息,就像是安卓上被滥用的公共储存权限

  23. @xfrgux #46 你说的很对,但是有些企业就是有这种需求,希望苹果能收的更紧,彻底断了这些路子。

    @CastleBUPT #47 粘贴板存 aff,下载推广的 app,推广的 app 读取 aff 。

    @sky96111 #54 就像我 @eGlhb2Jhb2Jhbw #26 回复的那样,我只是从某一方面提供一种可能性,确实有很多漏洞,还得细细设计。我观点是要么开放,要么收死,不要给这些 app 有空子可以钻。

  24. 有一条不是很了解,读取粘贴板就算了,他为什么还要访问我局域网内的其他设备,这就有点过分了……
    大佬们应该也遇到这个提示了吧,淘宝第一个跳出来这个权限申请……

  25. 创建快捷指令 1,获取空内容到剪切板
    创建快捷指令 2,获取最新的一张照片到剪切板
    设置,触控,背面敲击 2 次执行快捷指令 1,三次执行快捷指令 2

    这是我的设置,APP 一般不给照片权限

  26. iOS 没有权限,只报警不处理,非常值得吐槽。

    目前只能用 work flow 或者 launch 之类的程序,设置打开前 /退出后自动清楚剪切板。操作成本很高

  27. 终于搞清楚为啥在 2 家看起来毫不相关的网站 app 上能显示极其相似的信息了,不是大数据勾兑多刁,而是剪切板的功劳。

  28. @boiiio 偷换概念玩的溜! lz 说国内软件流氓,然后回复说国外也这样!这算啥呢?你可以另外开个贴说国外软件!人家讨论国内软件问题!就像你脑子不灵光,别人劝你去看下脑科,你偏要说别人也脑子有问题!你说别人脑子不灵光自然没问题,但你自己脑子仍没有解决啊!我们要解决问题,不要抬杠!你是开门的?老是抬杠?

  29. @boiiio 陈翔六点半,有一期就是讽刺你这种人才!也可能是夸奖!我可能独立思考不够,无法理解

  30. 擦,讨论的这么激烈。
    回复一下:
    1. LM 缩写就是个习惯,不是因为禁语或是什么,就像各位用 wx 替代微信,lz 替代楼主一样的道理。
    2. 目前我觉得这个锅大概率是要第三方 SDK 来背。
    3. 读取网络内其他设备权限也是个奇葩,到底想干啥???也是第三方 SDK 的锅吧?

  31. 某宝某音这种复制剪贴板打开,具体逻辑应该都是通过 regex 匹配当前剪贴板是否是自己产品方带过来的,如果不是的话就直接丢掉了也不会上报。只有匹配上 regex 的,才会把那一串口令报上去,然后服务端返回 schema 再处理。不能直接用 schema 的原因是因为直接传 scheme 被篡改的风险非常高。
    一般大厂都不会把剪贴板的内容全部传上去,一个是因为每次 resume 时都上报非常容易把服务打挂,二是如果不是自己 app 的丢上去也没啥用反而浪费资源,三是有 PR 风险。所以现在基本都是本地识别了以后再传,而且也只是单传短口令,就是那一串 Ykjaskdjbk 之类的编码

  32. 说实话,现在大部分都用口令的主要原因都是因为某信 不让分享
    就不说某音某宝这种明确封杀的,其他小型的产品稍微搞个活动,只要分享次数一上去触发了频控就基本只能自见了,相当于你的命根子被握在小龙手里,时间一长谁都受不了

  33. 好像是 ios4 还是 ios5 或者哪个版本,当系统支持复制粘贴时,中央二套早上的新闻还专门播了。

  34. 楼主标题之所以加国内,难道不是因为国内的 app 在窃取隐私方面可以明目张胆做吗?

  35. @eGlhb2Jhb2Jhbw 你说的是 app 唤醒吧,这个 iOS 支持啊,从一个 app 唤醒另一个 app,并且向被唤醒的 app 传递一定的数据,就是各家 app 自己的限制,跟 iOS 没有关系

  36. 每次玩王者荣耀之后打开优酷,都会提示优酷读取王者荣耀的内容。如果是王者荣耀读取剪切板,系统应该有提示的,不清楚优酷读取了王者荣耀的什么信息。

  37. @eGlhb2Jhb2Jhbw 你的本质需求就是让 app 互相共享某些数据,为什么一定要做一个共享池?直接把信息推给指定的 app 不行?

  38. @eGlhb2Jhb2Jhbw
    1 、你说的好很多场景请说明场景,不然下次需求评审你就不用来了;
    2 、scheme 是可以实现跳转 appstore,下载打开 app 后再自动跳转到指定页面的,并且还可以携带自定义参数;

    最后我再问一次,你的本质需求是不是让某个 app 获取到指定 app 的特定数据?
    你弄一个共享池,每个 app 都可以访问,怎么保证你的某个 app get 到的数据就是指定 app 的原始数据?

  39. @jiayong2793 #85 如果你是基于你说的第二条所发表的言论,那我能理解你的困惑。但是第二条你确定可以?我确实没听过说 appstore 可以转发 scheme,你可以放出文档来让我学习下。
    最后再回你一次,1. 是。2. 不用保证,我预想中都是存非敏感数据,谁爱取谁取。
    PS:有时候看不懂别人说话多想想看是不是自己的问题,为啥别人就没你这种疑问?

  40. @eGlhb2Jhb2Jhbw
    1 、官方给的文档没有写怎么做,但是有第三方能做到 H5 页面唤醒 App/下载后直达指定页面( openinstall ),在 iOS 这种封闭环境下,估计也是基于 iOS 提供的工具来完成的;
    2 、举一个场景:用户在淘宝上将推广内容存在共享池,准备在微信中使用,然后因为一些事情打开了美团,美团把共享池里的内容修改了,当用户打开微信取出淘宝的推广内容的时候已经不是原来的内容;这种场景怎么解决?再加一个权限去控制吗?

    本质需求就是把某个 app 的内容发给另一个 app,为什么不直接从原 app 中推送到目标 app 呢?偏要在中间加个共享池

发表评论

电子邮件地址不会被公开。 必填项已用*标注