安卓手机的剪贴板有隐私泄露风险吗

@geelaw 我指的用户调用系统 API 是指电脑端 CTRL/CMD+V 这样的系统级 API, 在移动端也可以通过系统级弹出菜单来调用, 如果系统把这个严格限制死, 必须由系统级的入口调用的话剪贴板应该就是安全的, 比如在 ios 上用户在弹出菜单里面选择"复制""粘贴"并不会触发 app 的权限请求, 只有 app 直接访问剪贴板内存数据的时候才会触发权限请求, 而这个请求是可以被用户永久禁用的, 并不会影响用户主动粘贴

@niubiman #21 当然, 操作系统能不能做到这样的效果那就是另一回事了

@niubiman #21 不太确定你说的 Ctrl/Cmd+V 的 API 是什么，Windows 上发生的事情也是：用户按了 Ctrl+V ，程序意识到了这一点，然后调用 OpenClipboard, GetClipboardFormatNameW, GetClipboardData 读取剪贴板，操作系统不知道程序为什么调用它：可以是 Ctrl+V ，可以是上下文菜单的“粘贴”，可以是工具栏的“粘贴”，可以是这个 app 就是想查看剪贴板。

我没有仔细看过 WinRT 是如何限制剪贴板 API 只有前台才能访问的，有两种可能：WinRT 剪贴板 API 单纯选择在非前台时不访问剪贴板，实际无权限约束，直接用 Win32 API 就可以访问（当然，这样做的 app 无法通过审核就是了，但可以 sideload ）； AppContainer SID 拒绝非前台线程访问剪贴板，即实际上有权限约束。

iOS 上，我不确定用户点击菜单的时候，是真的有权限隔离，还是系统菜单和 app 主动访问都在同一个进程里，只是系统菜单访问剪贴板用的是私有 API （和 app 主动调用的 API 是两套路径），所以主动调用之以绕过弹框的 app 无法通过审核。

我的点在于：要区分用户是否主动，需要权限隔离（操作系统内核所施加的安全性）而非仅仅是审核（本质上是所有上架 app 被迫自律）；权限隔离需要的模型可以做，但不简单。

@uuhhme 目前来看 ios 是遥遥领先的