隔屏有耳調查|手機App偷聽技術可行,但專家說價效比太低
今年1月,網民kaikai告訴澎湃新聞記者,自己某天中午跟朋友吃飯時,聊到過單反相機,隨後12時22分又在微信群中提到“單反”,結果13時就收到了京東發來的關於單反相機促銷的簡訊。
另一位網民小飯則表示,頭一天在大學寢室裡和室友聊天談論到的藍芽音箱,第二天就出現在了淘寶“有好貨”的推送流中,品牌、型號都一樣,“我平時完全不關注藍芽音箱的,所以才覺得很奇怪,突然給我推薦這個。”
近日,消費者對於手機App會不會偷聽使用者講話的擔憂,開始蔓延。淘寶、京東、餓了麼、美團點評、今日頭條、百度等多款國內主流App,普遍受到使用者質疑。
雖然幾乎所有網際網路公司都再三強調,不存在所謂竊聽行為,但每當這樣的懷疑和猜測被曝出,都會引發廣泛討論。
手機“竊聽風雲”究竟是陰謀論還是確有其事?這些所謂的“大資料智慧推薦”,是真的智慧,還是竊聽所得?這些智慧推薦能否關閉?澎湃新聞記者就此展開調查。
國內主流App獲取麥克風許可權理由
App、智慧音箱、電視技術上如何實現竊聽
不少國內網民講述了自己疑似被手機App竊聽談話內容的經歷。
上海的韓先生也向澎湃新聞記者表示,自己去年和女友在杭州九溪散步,其間女友提到想要買一雙“溯溪鞋”,而當晚手機淘寶首個推薦商品正巧也是“溯溪鞋”。“我平時不愛運動,絕不會主動搜尋這類相關商品,何況是精確到這三個字?”韓先生說。
類似的情況也在國外出現。有外媒記者發表文章稱,自己和朋友在雜貨店詢問了解之後,買了一些此前未曾聽過的品牌的啤酒。15分鐘後,朋友的Instagram中便出現了該品牌啤酒的廣告。另一篇報道中作者提到,自己在說過“下星期的聚會需要一些花”之後,Instagram裡也出現了花店的廣告。
現在很多App都希望獲取手機麥克風許可權,這背後究竟有何用途?
澎湃新聞記者查閱了國內幾家主流App獲取麥克風許可權的理由,比如,淘寶、京東等電商App是出於讓使用者方便使用語音購物或與客服語音互動的目的,微信、QQ等社交App則出於語音輸入或語音轉文字等目的,美團點評等生活O2O平臺則是出於分享點評視訊等目的。
但是,這些App會不會假借獲取攝像頭和麥克風許可權,隨時監控使用者的一舉一動、一言一行?
國家資訊保安漏洞庫(CNNVD)特聘專家、北京未來安全資訊科技有限公司CEO王英鍵(安全圈內被稱作“呆神”)告訴澎湃新聞記者,技術上來說,的確可以實現竊聽,蘋果系統複雜一些,調取錄音許可權時,蘋果系統會提醒使用者;安卓系統相對容易,比如在安卓平臺下植入木馬,獲得手機更高許可權,通過篡改系統,來控制麥克風,擷取資料。不僅可以竊聽,還可以發出位置資訊,有時候看上去關機了,但實際上它還在後臺運作。
不過,記者瞭解到,目前基本上沒有App會強制使用者開啟麥克風許可權,如果不開啟依然可以正常使用App。
安全專家李鐵軍告訴澎湃新聞記者,除了App,手機語音助手、智慧電視、智慧音箱也不能排除在“監聽”你的可能。
國外網路安全公司Asterix的高階安全顧問Peter Henway曾向媒體表示,從技術上講,手機只會記錄使用者發出“嘿,Siri”或“OK,谷歌”這樣的觸發詞時所說的話,但是由於它需要捕捉使用者所述關鍵詞,手機是會一直保持監聽狀態的。
有法律人士表示,App利用獲取的上述許可權對使用者進行24小時不間斷的“監視”、“監聽”,是受到國家法律法規的明令禁止的。
竊聽成本高昂,開發一個木馬成本十幾萬元
“但竊聽在實際操作過程中面臨很多挑戰。”王英鍵分析道,無論是蘋果還是安卓,從操作路徑上來看,大量的錄音內容需要分析才能有用,這不可能靠人來處理,那麼就需要手機或者上傳雲端來進行,分析完關鍵詞後再回傳伺服器,給使用者推薦商品和資訊,“如果在手機上進行,這樣大規模的動作,會佔用手機資源,拖累執行速度;如果上傳雲端,這些App都是上億的使用者量,則會產生巨大的流量,對公司來說是很大的成本。此外,還要考慮到談話方言、噪音等干擾因素。”
而在安卓平臺上,王英鍵還提到,如果竊聽木馬大範圍應用,則會立即被安全廠商查殺病毒。此外,安卓8系統以後,對隱私提出更高要求,當App在後臺操作時,對呼叫手機硬體更加規範。
王英鍵認為,竊聽這種非法手段風險與收益並不成比例,成本非常高,比如開發一個木馬的成本在十幾萬元左右,而最終推薦效果也並不一定有多好。
上海交通大學電子工程系無線通訊研究所副教授錢良也表示:“嚴格意義上的實時竊聽技術的確存在,但這類產品造價高昂且考慮到其特殊用途,目前在民用市場是不可能看到類似產品的。”
360安全專家也向澎湃新聞記者表示,對開發App的企業而言,這種行為會造成裝置耗電量的大幅上升,使用者體驗嚴重下降,此外採集到的絕大部分都是無效資料,且體積巨大,傳輸、處理和儲存這些資料都會帶來極高的成本。因此正規App不可能利用攝像頭和麥克風許可權對使用者進行“監視”、“監聽”。
李鐵軍也表示,“一般情況下,手機、電視、音箱的這種監聽,因為有系統沙箱隔離機制,App不會越權獲取到資料。廠商目前也沒有將資料交給第三方。當然,如果黑客攻擊,則不好說了。”
Facebook廣告部門有一位工程師Antonio García Martínez,在《連線》雜誌上也曾撰文解釋了為什麼Facebook不能監聽使用者。他說了三點理由:
第一,監聽使用者產生的資料非常多,Facebook難負其重。
整個過程就相當於使用者在持續不斷地給Facebook打電話。以使用者使用半天手機來計算,這一過程產生的資料僅在美國就有20PB,是Facebook每天處理資料的33倍還要多。而且,在“打電話”狀態,也會影響手機的其他功能。
第二,像智慧助手那樣監控,Facebook很難做到。
智慧語音助手都需要特定的觸發詞來喚醒,但Facebook沒有特定的喚醒詞,想從談話中獲取每一個對它有價值的關鍵詞,需要在本地(手機上)將語音轉換成文字進行識別。整個過程,就是算iPhone X,分分鐘也得變成磚。
第三,使用者語音資料,對廣告商來說沒多大價值。
京東、今日頭條、餓了麼、美團、百度迴應
對於使用者普遍關心的竊聽問題,截至發稿,多家公司對澎湃新聞記者作出迴應。
京東方面表示,京東絕不可能,也絕不允許有監聽使用者資訊的情況出現。在京東的隱私政策條例中,有明確的規範指出將遵循國家的《網路安全法》基於“合理、相關、必要原則”收集個人資訊,不會收集法律法規禁止收集的資訊。而在收集、使用、儲存和傳輸使用者資訊的時候,京東會明確告知使用者相關資訊的使用目的和範圍。包括如果將使用者資訊用於新的目的或範圍將重新獲取使用者同意,提供如何關閉位置、通知等授權的具體操作步驟等。
京東表示,如果使用者對個人隱私的安全有擔心,可以在京東App的賬戶設定中找到隱私設定,關閉需要訪問使用者相應資料的功能,且每一個功能都有相應的用途說明,以最透明的方式讓使用者掌控自己的隱私安全。
今日頭條也迴應澎湃新聞記者稱,使用者使用今日頭條(包括位元組跳動旗下產品)錄製小視訊記錄生活時,需要使用到手機麥克風,但除非使用者明確點選授權,否則,無論在何種手機機型上,今日頭條旗下產品都無法取得使用者的麥克風許可權,無法收到使用者的任何語音訊號。使用者可在手機設定“隱私-麥克風”中檢視。
此前,在百度遭江蘇省消費者保護委員會提訴、指控其旗下App涉嫌“監聽電話、定位”後迴應:百度App不會、也沒有能力“監聽電話”,而百度App敏感許可權均需授權,且使用者可自由關閉。
餓了麼方面此前回應,所謂“監聽使用者日常對話並做資訊分析”,是一種無端猜測,餓了麼既沒有做類似的產品設定,也不具備相關技術條件,餓了麼嚴格保護使用者隱私,任何必要的資訊採集都會在取得使用者事先同意的前提下進行,在合法合規的範圍內使用。
美團點評方面則迴應稱,有關“根據麥克風收錄的語音關鍵詞為點外賣的使用者做推薦”的行為並不存在,美團外賣只會在獲得使用者語音使用授權,且使用者主動發起美團外賣App內的語音輸入行為時,才會使用麥克風。此外,美團外賣僅會在使用者表達了明確需求資訊、進行主動查詢後,才會進行相關推薦輸出。
截至發稿,阿里巴巴方面尚未作出迴應。
國外App允許使用者智慧推薦隱私設定,國內普遍關不掉
如果真的不是竊聽,那麼為什麼如此巧合,出現了關聯度如此之高的商品或內容?
有使用者提到,昨天微信聊天說買鋼琴,發了一個某款電子琴的淘寶連結,第二天朋友圈廣告就精準推送了這款產品的廣告。難道自己的聊天過程被監測了?
對此,騰訊微信團隊向澎湃新聞記者表示,微信不留存任何使用者的聊天記錄,聊天內容只儲存在使用者的手機、電腦等終端裝置上。微信不會將使用者的任何聊天內容用於大資料分析。
關於品牌朋友圈廣告投放的邏輯,微信團隊解釋,廣告主可選擇把廣告投放給他們設定的目標人群,投放範圍會非常廣,而目標人群是基於使用者群像的研究,微信不會針對某一個使用者的隱私資訊進行分析。“上千萬的使用者中有一位恰好之前提到過相關產品,也收到了關於該產品的廣告,使用者便誤以為二者有因果關係。”
京東商品推薦也是類似的邏輯。京東方面告訴澎湃新聞記者,之所以使用者感覺我們好像知道你想要什麼,是基於京東的大資料搜尋推薦能力,通過使用者在搜尋、購物行為等產生的大資料,例如消費習慣、品牌偏好等資訊,以及京東多年積累的使用者畫像資料,京東可準確預測使用者可能感興趣和關注的商品,進而出現在個性化推薦當中。
安全專家李鐵軍告訴澎湃新聞記者,竊聽可能只是使用者的幻覺,“如果用了一堆相關的App,就有可能看到似曾相識的商品了。”
他所提到的場景,則是又一種情況。
比如,有使用者提到,淘寶上剛把一款“娃娃領粉色中長款毛呢外套”加入了購物車,之後打開了今日頭條,剛剛搜的那款“娃娃領外套”的廣告出現在頭條頁面上。
或者,在京東搜了“充電寶”,接著開啟微信,在微信公眾號的廣告欄中看到了剛剛這款充電寶。
這是一種已經在全球範圍內容成熟應用的廣告技術——程式化廣告。程式化廣告可以實現跨平臺營銷,這背後有統一使用者ID識別,但不會掌握使用者個人資訊。對於使用者來說,程式化廣告因其千人千面的精準推薦,常展現出“比你還懂你”的特性。
據瞭解,淘寶和今日頭條、京東和微信都在廣告層面分別有合作。
另外,安全專家還提到,如果手機上用了第三方輸入法,也有一定概率可能出現“輸入什麼接下來就能看到相關推薦”的可能。雖然搜狗等輸入法不會主動將使用者輸入資料共享給第三方的說法,但不排除一些黑客基於漏洞去偷錄用戶資訊的可能。
實際上,有熟悉黑產的人士向澎湃新聞記者直言,通過麥克風竊聽談話來獲取使用者資訊,只是萬千選擇中的一種,而這種方式非常低效,卻是大家最敏感的。各大公司如果真的想要“竊聽”一個人的資訊與狀態,有太多太多的方法。
“比如接入所謂的第三方營銷系統。”上述人士表示,第三方營銷系統的資料有一部分是正規獲取,但也有一部分營銷系統是從黑市獲取。“黑市上已經有大量使用者資訊,從使用者偏好、特徵到預測收入區間,對應手機號和手機mac地址。”
而這也是央視3·15晚會曝光探針的工作原理,探針只能獲知MAC地址,怎麼從MAC地址關聯到手機號,則需要黑市的這些資料庫。
據央視3·15晚會報道,在商場、超市、便利店、寫字樓等地,有一些探針小盒子,去發現附近開啟無線區域網(Wi-Fi)的手機裝置,隨後迅速識別出使用者手機的MAC地址,轉換成IMEI號,再轉換成手機號碼。在使用者毫不知情的情況下,蒐集個人資訊,甚至包括婚姻、教育程度,收入等大資料個人資訊。
黑市上為什麼存在大量使用者資訊?有黑產人士如此說道,“現在我們在安裝軟體的時候,首先第一步需要我們填使用者服務條例,必須點選同意,安裝好了以後要求開許可權,是否訪問使用者通訊錄,訪問手機資料夾,電話記錄,簡訊,允許之後才可以使用軟體,然後通過你使用軟體適合,所產生的使用者資料,可以用於商業營銷用途的。”
不過,澎湃新聞記者查詢淘寶、京東等App隱私策略,這些網際網路公司都表示,會通過技術手段對使用者個人資訊等資料進行匿名化、去標識化處理,無法識別特定自然人身份資訊。
特別是,使用者比較關切的阿里系平臺之間的資料打通,《淘寶網隱私權策略》寫明:個人資訊可能會與關聯公司共享,比如會向合作伙伴提供有關廣告覆蓋面和有效性的資訊,但不會提供使用者個人身份資訊。這些合作伙伴可能將上述資訊與他們合法獲取的其他資料相結合,以進行廣告或決策建議。
那麼,如果使用者還是不放心,是否能關閉智慧興趣推薦功能呢?
澎湃新聞記者查詢並詢問了多家國內網際網路大型公司,大多數沒有得到答覆,一部分則明確表示目前沒有這一功能。
3月20日,記者發現,今日頭條App中目前可以支援使用者關閉程式化廣告。如果關閉,使用者看到的廣告數量保持不變,但廣告相關度會降低。【責任編輯/林羽】
(原標題:隔屏有耳調查|手機App偷聽技術可行,但專家說價效比太低)
來源:澎湃新聞
IT時代網(關注微信公眾號ITtime2000,定時推送,互動有福利驚喜)所有原創文章版權所有,未經授權,轉載必究。
創客100創投基金成立於2015年,直通矽谷,專注於TMT領域早期專案投資。LP均來自政府、網際網路IT、傳媒知名企業和個人。創客100創投基金對IT、通訊、網際網路、IP等有著自己獨特眼光和豐富的資源。決策快、投資快是創客100基金最顯著的特點。