博客

手机剪切板被自动复制淘口令或者支付宝红包码估计大家都遇到过，简单来说操作系统并未限制剪切板读取写入。

而淘口令和红包码无非是强那啥用户来获得返利，但有时候剪切板出现非常长的没法直接看明白的代码是什么鬼？

比如蓝点网接到用户反馈称手机百度输入法剪切板就出现超长字符串，而这些字符串乍看估计也不明白具体含义。

于是蓝点网从用户那里获得部分字符串进行测试，经过多次转码解密后发现该问题实际上和手机输入法关系不大。

示例字符串和转码解密后的内容：


# 剪切板里出现的内容：



^quCYkpfnQq^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



# 通过base64解密后获得的内容还是看不懂还需要再解密：



^quCYkpfnQq^{

"p1":"1023908z","p2":"","p3":"1023908x","scheme":"v1/easybrowse/hybrid?upgrade=1&type=hybrid&tpl_id=landing_app.html&newbrowser=1&style=%7B%22toolbaricons%22%3A%7B%22tids%22%3A%5B%224%22%2C%221%22%2C%222%22%2C%223%22%5D%2C%22menumode%22%3A%222%22%2C%22actionBarConfig%22%3A%7B%22extCase%22%3A%220%22%7D%7D%7D&slog=%7B%22from%22%3A%22feed%22%7D&context=%7B%22nid%22%3A%22news_9138676870703819904%22%7D&ch_url=https%3A%2F%2Fmbd.baidu.com%2Fnewspage%2Fdata%2Flandingreact%3FpageType%3D2%26nid%3Dnews_9138676870703819904%26sourceFrom%3DlandingShare&commentInfo=%7B%22topic_id%22%3A%221006000030139151%22%2C%22opentype%22%3A2%7D"}



# 再通过URL转码后获得：



^quCYkpfnQq^{

"p1":"1023908z","p2":"","p3":"1023908x","scheme":"v1/easybrowse/hybrid?upgrade=1&type=hybrid&tpl_id=landing_app.html&newbrowser=1&style={"toolbaricons":{"tids":["4","1","2","3"],"menumode":"2","actionBarConfig":{"extCase":"0"}}}&slog={"from":"feed"}&context={"nid":"news_9138676870703819904"}&ch_url=https://mbd.baidu.com/newspage/data/landingreact?pageType=2&nid=news_9138676870703819904&sourceFrom=landingShare&commentInfo={"topic_id":"1006000030139151","opentype":2}"}


内容原来是百度百家号的：

经过上述解密转码步骤后可以看到实际上链接内容是百度百家号移动版的，难道百度输入法悄悄复制百家号内容？

蓝点网与用户进行多次测试后发现原来这个问题与百度输入法没什么关系，而是百度百家号在用户加载时复制的。

简单来说就是用户使用手机浏览器查看百度百家号内容时，如果点击加载剩余部分按钮就会自动复制上述字符串。

复制的字符串经过转码和加密放在剪切板里，但这串加密后的字符串实际上即便直接粘贴到浏览器也并不能访问。

所以百度百家为什么会写入剪切板加密内容就是个迷了，经过网上搜索发现百度百科等很多百度产品有类似问题。

进一步搜索还可以发现不止百度，国内不少新闻和资讯网站也会这么干，但这么做的出发点暂时还是没法搞清楚。

是否用于跨应用追踪用户？

眼尖的网友应该注意到百度百家写入的内容开头有个字符串 ^quCYkpfnQq^，这个看起来与淘口令等有些类似。

不怀好意的推测是百度百家通过生成不同的字符串再通过百度输入法追踪用户，理论上说这种方式确实可以追踪。

但使用搜狗输入法等其他输入法还是会被粘贴类似的内容，如果在非百度输入法上粘贴的话估计也没太大的意义。

所以到这里我们还是不清楚百度等网站写入这类字符串有何意义，但是任意读写手机剪切板无疑会带来隐私问题。

这里是写入字符串还不算太大的问题，如果是直接读取用户复制的内容恰巧用户复制的又是账号密码则可能泄露。

此前已经有研究人员警告称操作系统不限制剪切板读取有风险，不知道未来安卓和 iOS系统是否会对此进行改进。