app后面的hd是什么意思 这些滥用剪贴板的App，背后玩的是什么把戏？

图片来源:Pixabay

文字|硅星杜晨

2

上周，随着苹果一年一度的全球开发者大会，iOS 14开发者预览版(以下简称iOS 14预览版)正式上线。

有开发者发现，在iOS 14的预览版中，当当前活动的应用程序读取剪贴板的内容时，界面上会弹出一个提示通知用户。

具体来说，当App从关闭状态打开或从后台进入前台时，会读取用户剪贴板的内容，iOS 14预览版会显示“从yyy粘贴的xxx”字样，其中xxx是读取剪贴板内容的应用，yyy是剪贴板内容的源应用。例如:

这个功能一出来，一直偷偷访问剪贴板的App突然出现了。

根据独立开发者Talal Bakry和Tommy Mysk的研究发现，至少有53个应用存在这种行为。除了TikTok，还有《纽约时报》和《经济学人》的手机、微博、天气预报、阿里巴巴的速卖通等。，涵盖社交网络、新闻客户、游戏和电子商务。

然而，最著名的是TikTok，一个字节跳动拥有的海外短视频软件。

Emojipedia创始人杰里米·伯格上传的视频显示，每当他在TikTok的评论文本框中输入文本时，TikTok都会不断弹出阅读剪贴板的通知:

突然之间，这个消息在开发者和iOS用户的圈子里引起了不小的舆论风暴。

明确一点，苹果一直允许前台应用默默读取剪贴板内容，只有从iOS 14的预览版才会给出明显的提示。许多用户第一次意识到这些提示，他们每天使用的应用程序会“秘密”读取剪贴板的内容。再加上TikTok的视频，人们误解了TikTok在听他的输入。

TikTok真的在这么做吗？为什么这些应用程序读取剪贴板内容？背后有什么诀窍？

硅之星的人采访了TikTok和其他许多资深iOS开发人员，让你全面了解开发人员对剪贴板的正常阅读和滥用。

TikTok为什么以及如何使用剪贴板？

一位TikTok发言人告诉《硅星人》，开发者在iOS 14预览版中看到TikTok频繁阅读剪贴板内容的原因实际上是因为TikTok iOS应用程序将使用剪贴板来反垃圾邮件。

在这个问题被公众发现后，TikTok在应用商店发布了一个新版本，删除了这个功能。

一位了解情况的员工详细解释了TikTok剪贴板的反垃圾邮件工作机制:

当用户在文本框中输入时，应用程序将对用户剪贴板中是否有任何内容做出“是”或“否”的判断。

如果回答为“是”，则用户在TikTok视频下留下的评论的权重将会降低，并且不会出现在消息的前面位置。

TikTok不读剪贴板上的具体内容，只看剪贴板上是否有内容。

这种想法背后的逻辑是，那些在进入TikTok后仍在剪贴板上有未清除内容的用户更有可能在剪贴板上有垃圾内容。

这是一个广义的逻辑，甚至有些奇怪。

通常，反垃圾邮件内容的对象应该是用户提交的内容，而不是保存在剪贴板中的内容。其实由于剪贴板功能的设计，粘贴后剪贴板的内容还是存在的。如果你在看一篇文章，你可以检查一下你的剪贴板里有没有文字——如果你用这个标准来判断垃圾内容，你应该不会不小心伤得太重。

内容平台还有很多其他更常见的反垃圾邮件做法:大部分平台会在服务器端处理反垃圾邮件内容；在客户端，还可以检查每单位时间文本框中输入的单词是否过多。这些比TikTok整风前的方法更符合逻辑。

此外，该员工透露，该功能不是由TikTok反垃圾邮件团队开发的，而是由另一个具有类似业务方向的团队开发的。

然而，可以确认的是，TikTok并没有像许多人在观看视频后担心的那样，在文本框中听取用户的输入。

这个说法得到了很多资深iOS开发者的支持。

Zhihu用户、iOS开发教程作者王告诉《硅星人》，当用户在输入内容时，经常会出现剪贴板调用的通知，这可能是由于调用了一个名为TextFieldDindediting(_:)的函数，即“文本框输入结束”。

因此，当用户在TikTok的文本框中输入文本时，每次输入动作停止时，都会触发剪贴板内容的调用。

至少有两位资深iOS开发人员认为，从视频中的应用行为来看，顶部的弹出通知只意味着读取剪贴板的内容。“有些人认为这意味着TikTok在听用户打字，但事实并非如此。只有在文本框中输入文本的行为才会触发剪贴板内容的读取。王对说道。

至少在这次事件中，TikTok并不像人们指责的那样邪恶。整改前的行为最多影响了用户体验。从代码层面来说，它确实“滥用”了剪贴板权限，但没有证据表明它利用剪贴板内容侵犯了用户隐私。

据硅星人透露，TikTok在删除前述反垃圾邮件功能后，将继续保留在应用程序中调用剪贴板的功能，并将本着合法合规的原则使用它。然而，TikTok尚未透露具体的使用目的。

那么，剪贴板有哪些可能的用途呢？请继续阅读。

滥用剪贴板背后有什么诀窍？

读取剪贴板内容是iOS平台允许的功能。很多受访的资深开发者和业内人士也表示，访问剪贴板的确是中美互联网行业的普遍做法。原则上，只要需要在应用程序之间传输信息，就可以检索剪贴板。

然而，这些被发现的应用程序在未经用户许可的情况下嗅探剪贴板内容，像TikTok这样的“极端情况”似乎超出了苹果剪贴板设计的初衷，在隐私方面存在争议。

王认为，起步叫剪贴板。根据合理的猜测，可能有几个原因:

程序写错了，用错了插件，接口调用不正确(比如TikTok的情况，有意无意，可以暂时算作这一类)；

在开发过程中，一些常见的第三方功能，如第三方账号登录(如Facebook、Twitter、微信、微博等)。)，并访问这些功能对应的广告联盟。取剪贴板的行为可能是这些第三方功能或者广告联盟SDK造成的，一般来说，并不是开发者第一方的过错；

填写用户头像或提取关键词推送广告:这种做法接近灰色行业的范畴。结合以上原因，应用可以完全提取剪贴板的内容，通过第三方广告联盟来补齐用户头像，从而更加精准地推送广告。这也是为什么很多人经常觉得广告有心灵感应的能力，即使在目前的应用中没有输入相关内容，也收到了相关性很高的广告。

zhi Hu IOs开发主题资深开发人员、杰出回答者Bill Cheng透露，在中国互联网环境下，应用检索剪贴板一般有几种场景:

首先，应用程序之间的跳转通常是通过剪贴板实现的。比如在第三方应用中，你选择通过微信登录，或者通过支付宝支付。这时候嵌入第三方应用的微信和支付宝组件会在跳转前把一段数据放入iOS系统剪贴板，然后跳转。再读一遍；

而且，对于一些应用，尤其是一些阿里和字节应用，应用中的内容或链接由于众所周知的原因无法通过微信共享，所以改为通过剪贴板实现。

macOS剪贴板工具FastClip的独立开发者和创始人沈巍告诉《硅星人》，大公司的应用大量使用剪贴板，主要是为了完成自己的应用场景和优化体验:

“比如由于中国互联网阵营之间的信息禁运，淘宝只能通过洗密码，或者支付和电商应用的密码红包来完成微信交流，只能通过解析剪贴板的具体数据格式来快速帮助用户。触摸产品的某个功能，提升体验。”

久而久之，随着这些中国互联网公司的成长和人员的流动，这种做法逐渐成为中国互联网行业的常态。

微博CEO王高飞承认，微博的共享功能是在应用程序被发现读取剪贴板内容后，通过剪贴板实现的。

但这个解释并不具有说服力。有开发商认为这是偷换概念和场景的说法。iOS平台有一个原生的跨应用共享界面，可以达到“把内容分享到微博”的效果。用剪贴板代替原生界面，完全超出了用户在文本框中点击“粘贴”的权限。说好话是为了用户体验，说坏话是侵犯隐私。

有网友说:界面应用主动嗅探用户的剪贴板内容，用户主动复制界面应用中的剪贴板内容，是两种不同的行为。看似很方便，其实很不合适。缺少的是用户的粘贴授权。

比尔·程指出，从另一个角度来看，围绕剪贴板的隐私争议也是由中国互联网特色的社会环境造成的。“简单来说，你可以发现腾讯的应用很少出现剪贴板隐私问题，但如果其他应用涉及微信共享，并且已经被微信屏蔽，一般都会出现问题(剪贴板)。”

滥用剪贴板，终于该治了？

剪贴板所说的“中国互联网特色”的存在，从长远来看并不是一件好事。一些新的玩法从灰色变成了黑色。

在去年的双十一期间，一些用户发现未知的淘密码经常出现在他们搜狗输入法的内置剪贴板中。

更夸张的是，搜狗输入法还内置了复制内容后的提示功能。打开此功能的用户会频繁跳出“你刚刚复制了xxxx”的提示——即使他们没有做任何复制动作。

在这个前提下，当用户打开淘宝、陶艺等应用时，这些未知的淘密码会被调用并识别，从而触发锁定红包的页面。部分用户意外点击后，使用购物返利申请下单获得的返利进入了其他人的账户，未知密码的原拥有者。

部分受访者对硅星人的反应。今年618购物节期间，搜狗输入法也出现了类似的情况。

针对这种情况，Bill Cheng补充道，支付宝在几年前就做了一个吱吱嘎嘎的密码功能。其他人复制了一个用户吱吱作响的密码，进入支付宝领取红包。用支付宝三天内支付，也可以让吱吱作响的密码原主人得到回扣。

于是，在之后的一段时间里，很多移动网站的开发者动了心思，通过web API在剪贴板上填充了廉价的密码，不仅覆盖了用户剪贴板上之前的内容，还导致用户进入支付宝等应用时出现莫名其妙的弹出窗口。

显然，这些开发商的意图是大规模骗取回扣，渠道是通过剪贴板进行的，不仅简单，而且“合法”。

据Bill Cheng介绍，在iOS 14之前，调用剪贴板是一个灰色地带，功能性要求是存在的，对用户隐私的侵犯并没有那么在意，所以没有人质疑这种做法的合理性。iOS 14新的提示框暴露了调用剪贴板的动作，对他来说是好事。

“应用程序打开时会随意读取剪贴板，这是对用户隐私的侵犯。很有可能剪贴板不是共享乱码字段，而是你的姓名、银行卡号码、手机号码甚至密码。”

这部分信息很可能会随着剪贴板的读取而上传到应用服务器上，并与用户的账号绑定，所以联系方式或财务信息会在不知不觉中泄露。

申银认为，上传用户的剪贴板内容确实可以提取许多用户的隐私信息，这在应用中是不必要的。“无论这些应用程序是否收集或分析剪贴板数据，这种行为都会让用户感到恐慌。作为剪贴板应用的开发者，个人的态度是把用户的隐私放在第一位。”

Bill Cheng指出，剪贴板作为用户行为操作的系统和工具，不应该用于非用户行为操作。如果用户不剪切、复制和粘贴，应用程序就不应该读取或写入剪贴板的内容。“不要说有剪贴板共享有隐私问题，就是跳转登录，或者付费，不要用剪贴板。”

他认为，把剪贴板恢复到原来的工具用途，才是苹果iOS 14弹出窗口的初衷。“揭露这种做法是好事。这意味着苹果官方将这个一度灰色的区域定义为黑色。”