Copiar i enganxar al mòbil és tan automàtic que gairebé ni hi pensem. Però cada cop que ho fas, aquesta informació passa per un lloc delicat: el porta-retalls. I des d'aquí, altres aplicacions poden arribar a “xafardejar” el que has copiat, des d'un simple text fins a contrasenyes, codis 2FA o dades bancàries. Per sort, tant Android com iOS han anat incorporant avisos i eines perquè puguis assabentar-te quan passa.
A les darreres versions dels sistemes operatius mòbils, s'han afegit indicadors, historials d'accés i funcions de privadesa pensades justament per això: saber si una app està accedint al teu portapapers, càmera, micròfon o altres permisos sensibles sense que tu ho demanis. Veurem detalladament com funciona tot això, quins límits té i què pots fer per protegir-te una mica millor.
Per què el porta-retalls és tan delicat per a la teva privadesa?
Quan copies alguna cosa al telèfon, ja sigui un text, una foto o un número de targeta, aquest contingut es desa en una àrea compartida del sistema anomenada porta-retalls, i qualsevol app amb accés al porta-retalls pot llegir aquest contingut mentre hi sigui. No necessites donar-li un permís especial com amb la càmera o la localització, cosa que fa que sigui un punt molt sucós per a aplicacions curioses o mal dissenyades.
Durant anys, a Android ia iOS, les aplicacions podien “mirar” el porta-retalls sense que l'usuari se n'assabentés, fins i tot en obrir-les o mentre les usaves per a una altra cosa. Això va provocar casos sonats quan es va descobrir que apps de tota mena (xarxes socials, apps del temps, diaris, botigues en línia…) estaven llegint el portapapers amb molta més freqüència de la necessària.
Aquí el problema no és només tècnic, sinó també de quines dades copies tu. És molt habitual que la gent copieu contrasenyes, codis de verificació per SMS, números de targeta o adreces completes. Si una app sense escrúpols hi accedeix, té informació de moltíssim valor per rastrejar-te o, en el pitjor dels casos, per cometre frau.
Què ha canviat a iOS i Android amb els accessos al porta-retalls?
Apple va ser la primera a donar un cop a sobre de la taula amb iOS 14: cada vegada que una aplicació accedeix al porta-retalls, el sistema mostra un avís en pantalla. Aquest simple missatget va fer que es descobrís que apps com TikTok, grans mitjans o fins i tot algunes botigues en línia estaven llegint el porta-retalls amb una alegria que no s'havien molestat ni a dissimular.
Google, veient l'impacte d'aquesta mesura, va decidir moure's a la mateixa direcció. A partir d'Android 12, s'inclou un ajustament de privadesa que, si està activat, fa que el mòbil t'avisi quan una app accedeix al text, imatges o altres continguts que tinguis copiats al porta-retalls. La idea és la mateixa: que l'usuari pugui veure quines apps fiquen els nassos on no deuen.
Dins del mateix Android, a més, s'ha anat endurint l'accés al porta-retalls segons la versió: a Android 10 i posteriors, les apps en segon pla ja no poden llegir tan alegrement el contingut del porta-retalls de l'app que està en primer pla, cosa que redueix molt els atacs silenciosos des de processos que no veus en pantalla.
Cas real: apps que “husmegen” el porta-retalls
L'exemple de TikTok a iOS 14 va ser sonat: els avisos del sistema van deixar clar que l'app estava comprovant el porta-retalls constantment, suposadament per detectar spam o comportaments sospitosos, però a la pràctica recollint molta més informació de la que un usuari normal imaginaria. Després de la polèmica, la companyia va haver de canviar aquesta pràctica ràpidament.
El mateix ha passat amb altres aplicacions com AccuWeather, grans mitjans com The New York Times o Wall Street Journal, o gegants del comerç electrònic com AliExpress, que van ser enxampats accedint al porta-retalls sense avisar. En alguns casos hi havia una certa justificació tècnica, en altres quedava més aviat en evidència un abús de confiança.
El patró és clar: sense avisos del sistema, l'usuari no en sap res; amb avisos, les apps es veuen pressionades a justificar aquest accés o directament a deixar de fer-ho per evitar l'escàndol públic. La transparència, encara que sigui només mostrant un cartellet, funciona com un fre força efectiu.
Com saber si una app accedeix al teu portapapers a Android?
A Android, la situació depèn molt de la versió de sistema que tinguis. Tot i així, hi ha diverses capes de protecció i registre que convé conèixer per entendre qui accedeix a què.
Avisos d'accés al porta-retalls en Android 12 o superior
A partir d'Android 12, hi ha una opció de privadesa que fa que el sistema mostri un petit avís quan una aplicació accedeix al teu portapapers. És similar a la notificació que apareix quan una app utilitza la teva càmera o el teu micròfon, només que en aquest cas parla del contingut que hagis copiat.
La ruta habitual (pot canviar una mica segons la marca) és una cosa com: Paràmetres > Privadesa > Mostrar que s'accedeix al porta-retalls. Si ho tens activat, cada vegada que una app llegeixi el porta-retalls veuràs un missatge durant uns segons a la part superior de la pantalla indicant quina aplicació ha fet la lectura.
Hi ha matisos importants: per exemple, el teclat Gboard sol estar exempt d'aquests avisos, ja que és el propi sistema i necessita llegir el porta-retalls per a funcions bàsiques. I si aquests avisos et resulten molestos, els pots desactivar des d'aquest mateix menú, encara que perdràs aquesta capa de transparència.
Limitacions per versió d'Android i riscos en versions antigues
A Android 9 i anteriors, l'escenari era força més perillós: qualsevol app en segon pla podia llegir el porta-retalls associat a l'app en primer pla, sense límit i sense que t'assabentessis. Si fas servir encara una versió antiga, estàs en un context de risc molt més gran.
Android 10 introdueix un canvi clau: restringeix l'accés al porta-retalls des de processos en segon pla, cosa que evita que una app que no estàs usant activament pugui espiar el que copies en una altra aplicació. I a Android 13 se suma un esborrat automàtic del contingut del porta-retalls després d'un temps, reduint la finestra en què les teves dades queden exposades.
Per als desenvolupadors, Android ofereix a més una marca especial que poden aplicar al contingut copiat, com ara ClipDescription.EXTRA_IS_SENSITIVE o android.content.extra.IS_SENSITIVE, que serveix perquè el sistema i el teclat ocultin la vista prèvia del text al porta-retalls. Si una app maneja dades molt sensibles (banca, codis 2FA, contrasenyes…), hauria de marcar aquests continguts així per evitar que altres els puguin veure fàcilment.
Com aprofitar els historials de permisos a Android?
Tot i que l'historial de permisos d'Android se centra sobretot en càmera, micròfon, localització i companyia, et serveix com a indicador general de comportament. A moltes capes d'Android recents pots anar a Configuració > Seguretat i privadesa > Privadesa > Mostra tots els permisos per revisar quines apps han accedit a cada permís i quan.
Dins d'aquest panell, veureu dues vistes principals: una llista ordenada per tipus de permís (càmera, micròfon, contactes, etc.) i una altra per aplicació, on pots revisar què ha fet servir cada app. Encara que el porta-retalls no es gestiona com un permís clàssic, si veus que una app ja es comporta de forma sospitosa amb altres permisos, és lògic desconfiar també del que pugui estar fent amb el que copies i pegues.
Si detectes accessos estranys (per exemple, un joc demanant càmera o contactes sense venir a tomb, o una app de llanterna amb una llista absurda de permisos), el que és prudent és revocar els que no tinguin sentit i fins i tot plantejar-te desinstal·lar l'app. Com menys permisos tingui una aplicació, menys mal pot fer si es comporta malament.
Monitor de permisos i capes extra en alguns Android
Alguns fabricants afegeixen les pròpies eines. En certs mòbils Samsung, per exemple, existeix un “monitor de permisos d'aplicacions” que avisa quan una app en segon pla intenta fer servir un permís concret, a més de registrar tota aquesta activitat en un historial consultable.
És el que li va passar a un periodista que va veure com l?app d?una aerolínia intentava accedir a la càmera del mòbil encara que tenia el permís desactivat. El monitor va llançar una alerta, cosa que li va permetre descobrir que l'app intentava obrir la càmera en un moment en què no era raonable, donant lloc a una bona polèmica a xarxes.
En aquests casos, el sistema sol avisar de l'intent, però si el permís està denegat, l'app no arriba a fer servir realment la càmera o el sensor en qüestió. Tot i així, l'intent ja és un senyal d'alarma que cal no ignorar.
Com saber si una app accedeix al porta-retalls a iOS
A l'ecosistema Apple, el comportament del portapapers també ha canviat molt els últims anys, amb mesures dissenyades perquè sàpigues quines apps miren les teves dades copiades i per reduir l'accés automàtic.
Notificacions d'accés al portapapers a iOS 14 i posteriors
Des de iOS 14, cada vegada que una aplicació llegeix el porta-retalls, apareix un avís a la part superior de la pantalla indicant quina app ho ha fet. Això vol dir que si veus aquest missatge sense haver enganxat res tu manualment, l'app ha “fet un cop d'ull” al porta-retalls pel seu compte.
Abans d'aquesta funcionalitat, l'accés automàtic era molt habitual: moltes apps comprovaven el que tenies copiat simplement en obrir-les o en canviar de pantalla, per comoditat o per alimentar els sistemes de seguiment. Ara, cadascuna d'aquestes lectures deixa empremta en forma d'avís visual, cosa que ha obligat molts desenvolupadors a replantejar-se el comportament.
Aquest mecanisme no distingeix entre usos legítims o abusius, però us dóna la informació mínima necessària per decidir si confieu en aquesta app. Si veus que una aplicació que amb prou feines fas servir està constantment llegint el porta-retalls, tens un bon motiu per revocar permisos o directament desinstal·lar-la.
Secure Paste i canvis a iOS 15
Amb iOS 15, Apple va introduir una millora anomenada Secure Paste. Aquesta funció permet que els desenvolupadors implementin un sistema en què, encara que l'app necessiti accedir al porta-retalls, no “vegi” realment el contingut fins que l'usuari ho confirma en enganxar. És una mena de capa intermèdia que redueix l'accés silenciós.
El problema és que no totes les aplicacions s'han adaptat a aquest sistema. Si segueixes veient la notificació d'accés al porta-retalls en fer servir una app concreta, això sol indicar que els seus desenvolupadors encara no han integrat Secure Paste i que accedeixen al contingut de la forma tradicional.
Per ara, Apple no ofereix una forma per impedir per complet que una app llegeixi el portapapers si decideixes fer-la servir, més enllà de la informació que et donen les notificacions i la teva pròpia decisió de deixar d'utilitzar o desinstal·lar aquelles apps el comportament de les quals no et convenci. Si voleu influir en aquest tipus de funcions, podeu enviar suggeriments directament a Apple mitjançant els seus formularis de feedback de producte.
Indicadors de càmera i micròfon com a pista addicional
Tot i que la pregunta original gira al voltant del porta-retalls, a iOS és molt útil tenir presents els indicadors físics d'accés al micròfon i la càmera: un punt taronja quan es fa servir el micròfon i un punt verd quan es fa servir la càmera, A la part superior de la pantalla.
Aquests punts funcionen com un “xivat” immediat. Si veus que el punt verd o taronja s'activa quan no estàs gravant, ni en una trucada, ni fent una foto, és motiu de sospita sobre l'app que estiguis fent servir en aquest moment. És una eina senzilla, però tremendament efectiva per detectar accessos rars.
A Android pots imitar una cosa semblant amb apps com Access Dots, que reprodueixen aquests indicadors LED en pantalla per avisar-te cada vegada que una app utilitza càmera o micròfon. No és nadiu com a iOS, però afegeix una capa visual de control que va molt bé per detectar comportaments estranys.
Què pot veure realment una app del porta-retalls i per què és un risc?
Una app que accedeix al porta-retalls no veu només “un tros de text sense importància”. Segons el que copies, pot tenir accés a URLs molt personals, fotos que passes d'una xarxa social a una altra, números de telèfon, adreces físiques o fins i tot dades bancàries completes.
Per a un atacant, això és or pur: combinant allò que copies, amb els teus hàbits de navegació i altres dades que l'app ja tingui, és molt fàcil compondre un perfil molt detallat de qui ets, què fas i amb qui parles. En aplicacions financeres o d'autenticació, el risc puja encara més perquè es poden arribar a capturar codis de verificació o números de targeta.
Per això OWASP, la referència de seguretat per a aplicacions, inclou el maneig del portapapers dins de la categoria MASVS-CODE de qualitat de codi. Una mala implementació del porta-retalls en una app pot obrir la porta perquè altres aplicacions o atacants aconsegueixin dades extremadament sensibles gairebé sense esforç.
Què fan els experts i eines com AppCensus?
Per saber amb precisió què fa una aplicació per dins, no n'hi ha prou de veure quins permisos demana a la botiga. Una cosa és sol·licitar un permís i una altra de molt diferent és com i quan s'utilitza. La majoria d'usuaris no tenen manera de veure aquest detall des del mòbil.
Investigadors d'institucions com ICSI han creat projectes com AppCensus, on modifiquen una versió d'Android per instrumentar el sistema i registrar exactament quines dades toquen les apps i quan ho fan. Això no és una cosa que es pugui instal·lar des de Google Play com una app normal, perquè requereix canvis profunds al sistema operatiu.
A través d'aquesta anàlisi, han descobert milers d'aplicacions (més de 12.000 en una de les investigacions) que seguien recopilant informació personal fins i tot després que l'usuari els hagués denegat els permisos de manera explícita. El nombre d'usuaris potencialment afectats es compta per centenars de milions, cosa que dóna una idea de la mida del problema.
Per a l'usuari corrent, eines com AppCensus serveixen sobretot com a font d'informació: pots consultar què fa realment una app popular amb les teves dades abans de decidir instal·lar-la o continuar fent-la servir. No és perfecte, però és millor que refiar-se només de la descripció de la botiga o d'una política de privadesa interminable i ambigua.
Com revisar i controlar els permisos de les teves aplicacions?
Encara que el porta-retalls no tingui un control tan directe com càmera o micròfon, una bona part de la teva seguretat passa per gestionar amb cap la resta de permisos de cada app, tant a Android com a iOS.
A Android, des dels ajustaments de privadesa i seguretat pots veure un llistat d'aplicacions i els seus permisos: càmera, micròfon, localització, contactes, emmagatzematge, etc.. Algunes capes et permeten fins i tot triar si una app pot utilitzar un permís sempre, només mentre la fas servir o només una vegada.
A iOS, passa una cosa similar: a la secció de privadesa dels ajustaments, pots anar categoria per categoria (càmera, micròfon, fotos, localització…) per veure quines apps tenen permís i desactivar-lo amb un toc. Tingues en compte que certes funcions deixaran de funcionar si els treus permisos clau, però gairebé sempre podràs concedir-los de nou quan realment ho necessitis.
Consells pràctics per protegir-te com a usuari
Més enllà dels avisos del sistema i les funcions avançades, la millor defensa continua sent el sentit comú. Abans d'instal·lar una app, fixa't bé en els permisos que sol·licita i pregunta't si realment els necessita per fer allò que promet. Una llanterna que vol accedir als teus contactes, la teva ubicació precisa i les teves fotos és, com a mínim, sospitosa.
Si tens diverses apps que fan el mateix, escull sempre la que demaneu menys permisos que considereu innecessaris o abusius. Moltes vegades hi ha alternatives igual de bones que respecten més la teva privadesa simplement perquè els seus desenvolupadors han decidit no recol·lectar dades per a publicitat o analítica agressiva.
A Android, si no pots actualitzar a una versió recent, té molt sentit utilitzar una app que esborreu automàticament el contingut del porta-retalls després d'un temps, ja que a partir d'Android 13 el sistema ho fa sol, però en versions anteriors no. Això redueix la finestra dexposició si alguna app maliciosa intenta llegir el que copies.
Últimes consideracions
Finalment, acostuma't a no copiar i enganxar dades especialment sensibles si ho pots evitar. Usa gestors de contrasenyes amb autocompletat segur en lloc de copiar contrasenyes a mà, i si has de copiar un codi temporal, intenta enganxar-lo i esborrar-lo com més aviat millor perquè no es quedi donant voltes al porta-retalls més del necessari.
Al final, el porta-retalls és una eina comodíssima però també una petita mina d'or per a qualsevol app que vulgui saber més de tu del compte; gràcies a les últimes versions d'Android i iOS, ara tenim avisos, historials i opcions extra que permeten detectar qui mira el que còpies i posar-lo fre, però segueix sent clau revisar els permisos amb ull crític, limitar la instal·lació a les apps que realment necessites i ser prudent amb el que còpies i enganxes, perquè aquí es juga bona part de la teva. Comparteix aquesta guia i més usuaris coneixeran del tema.