iOS 14 发布,隐私增强就像照妖镜,让流氓 App 现了原形

作者: 唐杰 分类: 天下杂侃 发布时间: 2020-06-24 17:28

昨天凌晨苹果通过网络直播(录播)的方式举办了 WWDC 2020 开发者大会,正式发布了 macOS、iOS、iPadOS、watchOS 等新版本,同时也开放公测。

前几年我都会熬夜观看,今年却非常困,早早就睡了。起床后看了一圈媒体的汇总报道,基本上都是苹果公布出来的表面内容,而我非常关注的隐私增强,却没有深入的报道,于是我就亲自体验,升级了公测版。

关于隐私保护,Android 系统真是一把双刃剑,由于开源系统的开放性,借助第三方 App 可以对系统权限和隐私内容起到非常强悍的保护,但是同时也因为开放,流氓 App 也能轻而易举的拿到你的隐私内容,加上很多人隐私意识不足,甚至从来没接触或者用过权限控制的功能与应用。

由于 iOS 的封闭环境,关于隐私保护的功能只能指望苹果出手了,在 iOS 14 版本中,苹果又增加了几个隐私功能。隐私设置页新增了「Tracking」和「本地网络」两项设置,将 iOS 13 版本中「研究」改名为「研究传统感器与使用数据」并丰富了设置项。

iOS 14 隐私

在发布会上,关于细节的处理和功能,苹果不会大讲特讲,只能等使用者自己去挖掘和探索,下面我就介绍一下关于「隐私」方面我体验到了哪些功能。

读取剪贴板将有提示

这是我一直关心的问题,目前国内几乎所有 App 都有这个流氓行为,每次打开 App 都会默默的读你的剪贴板,这是一个非常大的隐私隐患,这一次 iOS 14 加入了提示功能。如果你打开某个 App 时,它读取你的「剪贴板」会在顶部弹出提示。剪贴板被乱用的问题,终于要迎来一个改观了。

淘宝读取剪贴板
手机淘宝 pasted from 微信

  • 手机淘宝:打开的「手机淘宝」App
  • pasted from:读取剪贴板的内容来自哪里
  • 微信:剪贴板内容在「微信」里复制的

这个功能还没完全中文汉化,情况是这样,我从微信里复制了一句话,然后打开「手机淘宝」后被默默读取了「剪贴板」,所以这句提示是指哪个 App 读取了我的「剪贴板」,而我的「剪贴板」内容来自哪里。

由于这个流氓行为是阿里系最先开始的,然后电商圈第一批耍起来了,所以我先试了淘宝、天猫、京东、拼多多等购物 App,无一幸免,个个流氓。然后我又试了几个其他领域的 App,比如支付宝、招行掌上生活、QQ、微博、闲鱼、盖得排行等等,一样很流氓。

读取剪贴板提示

阿里系几乎所有 App 都有这个流氓行为,像似做成了一个 SDK 让阿里系所有 App 都集成了。这里可能要牵涉一个历史问题,很多人一直认为是「微信」的锅,因为微信封杀淘宝,导致淘宝研发出了「淘口令」功能,从而让整个行业都意识到「剪贴板」还能这样玩。

这里就顺带着讲讲历史背景,阿里的根基是电商,但是电商并不生产流量,所以阿里一直需要不断从外部获取流量,这也是为什么阿里投资或收购的产品,都会植入电商引流功能。阿里虽然需要流量,但是非常怕流量管道不在自己掌控之中,因为阿里的营收主要靠卖流量(直通车、钻展等功能),所以阿里当年先后封杀了百度、蘑菇街、美丽说、微信等渠道来源,原因就是怕用户的购物决策和来源不在自己手里,除了营收影响,还担心用户入口习惯的改变。

出于种种原因,阿里封杀了微信来源,在微信里无法通过链接直接访问淘宝商品页,必须下载淘宝 App,于是微信的回应就是直接把链接封了,既然无法访问商品页,那就别访问了,所以微信里访问淘宝链接需要复制链接去浏览器打开。从单方面淘宝封微信,然后变成了双方互封了。

但是,微信体量大啊,阿里又想来薅羊毛(薅流量),所以发明了各种“薅”的方法,创新能力全体现在这个上面了,于是有了「淘口令」这个玩法,从而「剪贴板」开始被滥用了,不仅仅是为了读取口令,也包括用户隐私,分析「剪贴板」中隐含的用户喜好,从而推荐商品。另外,一些黑产的玩法就是分析「剪贴板」中隐含的重要信息,比如账户密码等内容。

除了「剪贴板」玩法,在薅流量上面还有一个创新功能,就是监视用户手机相册的玩法,淘口令不仅仅是文本内容,还有分享图。将分享图保存在手机里,然后打开 App 就能直达商品页,这个玩法就是默默访问相册,然后分析图片里的口令元素(比如二维码),分析完直接解析传送到对应页面,用户无感知,体验很溜。

可以限制 App 只能访问指定的照片

虽然电商的分享图玩法,有操守的 App 只会访问并分析最新一张图,然后传送直达页面,但是这种悄悄访问了,能做好事,也能做坏事,隐私隐患更严重。开放了「相册」权限,那么 App 就能访问你的所有照片,有一些流氓 App 就会直接将你的整个相册都传到云端去了。

可以限制 App 只能访问指定的照片

现在好了,iOS 14 支持为 App 单独分配照片,你只能访问我指定给你的相片,相当于把权限放到沙盒里了。

可以给 App 一个大概位置

有一些流氓 App,不给位置权限,它就不让你用,但是由于某种原因,你不得不要用一下。现在好了,iOS 14 允许你只提供一个模糊位置给它,它有位置权限,但也只能知道一个大概。

可以给 App 一个大概位置

以微信举例截的图,我所说必须给位置权限才能使用的“流氓” App 不是指微信。

摄像头和麦克风被使用会提示和记录

每当 App 使用麦克风或摄像头时,屏幕顶部就会出现一个指示器。在「控制中心」还可以查看某个应用程序最近是否使用过它们。

摄像头和麦克风被使用会提示
右上角「黄色圆点」就是指示器

支付宝测试
使用「支付宝」测试,在「控制中心」可以看到使用记录

其实流氓不仅仅会用你的摄像头和麦克风,为了能常驻后台,流氓都学会使用「播放」功能了,伪装成音乐 App 播放无声音乐,然后在后台一直运行搞自己的小动作。在 iOS 14 版本中,还没办法解决这样的流氓。

其他

不写太多字了,其他还有一些细节,简单的文字描述一下。

  • Tracking:中文名还没翻译,这个是控制 App 请求跟踪的功能,是否允许 App 请求使用标识符,用处是实现跨 App 和网站结合的活动跟踪。意思就是不允许的话,跨 App 不会知道你是同一个人。
  • 本地网络:应用需要征求许可才能找到本地网络上的设备并与之连接。以前没这个控制,现在单独可以管理了。
  • App Store 隐私信息:在 App Store 展示出 App 需要哪些权限,并且会获取哪些隐私信息也要披露。
  • Sign in with Apple:在 iOS 13 就有了,新版中加强了,但是对中国用户来说,约等于没有。在中国,无论你使用哪种登录方式,绑定手机号是强制的。

如果觉得我的文章对您有用,请随意赞赏。您的支持将鼓励我继续创作!

4条评论
  • 产品白客

    2020年9月5日 16:39

    赞,迫不及待想要升级到14了,不知道什么时候可以正式升级呢?

    1. 唐杰

      2020年9月7日 02:47

      正式版快了,9月底。

  • tt君

    2020年8月10日 15:33

    原来这么恶心么。话说杰哥这里最近是不是人太少了。

    1. 唐杰

      2020年8月11日 14:05

      好久没活跃了,所以人少了。

发表评论

电子邮件地址不会被公开。 必填项已用*标注