我命由我不由天!這是《太極張三丰》中的天寶喊出的經典臺詞。劇中的天寶雖然自私殘忍,為了權勢欲望而不擇手段,甚至親手殺死自己喜歡的人,但當他喊出這句霸氣四射的話時估計屏幕前的你們依然忍不住熱血沸騰吧? 畢竟有誰不想主宰自己的人生呢?
但現實生活中,我們可能連自己手機的麥克風都主宰不了。
你遇到過這樣的情況嗎?
剛和同事朋友說了想吃什麼,打開手機外賣App,就蹦出了它的推薦;剛說了要買什麼,就出現了這個產品的廣告。難道人工智慧都發展到讀懂人心的地步了?不對,等等,手機怎麼知道你剛剛說了什麼?
這一切都源於一個網友的發現。去年11月,某個網友懷疑外賣App在「偷聽」自己說話。隨後,《IT時報》耗時3個多月的時間,通過模擬用戶不同的使用場景,對當前主流安卓、IOS作業系統的手機、平板電腦上的餓了麼和美團外賣進行多輪測試。
多個網友真實經歷:美團餓了麼在「偷聽」我嗎?
案例1:我從來沒有在網上搜過紋身的東西,就是最近有說過想紋身,結果今天點外賣竟然給我推紋身,有點為難它了,連我點外賣的機會都不放過推送,美團餓了麼怕是否認不了呀,建議大家試一下,線下說你沒搜過的東西,然後過段時間看會不會有推送。
案例2:剛才試了下,說了句好想吃肉夾饃,然後打開美團。
案例3:北京的網友燃玉跟朋友說想吃鰻魚飯,1分鐘後打開支付寶上的餓了麼應用,推薦位頂部恰巧顯示著一家鰻魚飯的外賣店,此時距離他上次下單鰻魚飯相隔23天。
為了再次驗證這一現象是否純屬巧合,次日中午,燃玉自行對著手機進行了一輪測試。在沒有打開應用的情況下,他大聲說想吃披薩,隨後才打開了支付寶裡的餓了麼應用,在推薦位首頁中出現了一家披薩店,「這家店的披薩我曾經點過,但也應該是半個月前。」
燃玉使用的手機型號是小米MIX2,系統版本為MIUI9.6,在他的手機上,包括支付寶在內的大多數應用都有錄音權限,且這一權限在安裝時就已經默認啟用。「連續兩次都遇到了同樣的情況,難道是支付寶或者餓了麼在偷聽我說話?」燃玉猜測。
隨後,燃玉將自己遇到的情況第一時間發布在了微博中。根據微博後的154條評論來看,與燃玉有類似經歷懷疑App「偷聽」的人不在少數,而且使用某個App後,在另外的App當中也會留有「痕跡」。
「業內人士」表態:稱「偷聽」一說純屬想多
在獲得了麥克風權限的前提下,App會「偷聽」用戶講話嗎?一款App可以通過另一款App獲得信息嗎?
國內知名白帽子公司KEEN GeekPwn實驗室宋宇昊認為,目前這一技術已經完全成熟,且有一條共享資源的傳輸鏈路。
「如果某App具有麥克風的訪問權限,理論上,此款聊天App可以監聽周圍環境的聲音。在此過程中,聊天App可以將語音輸入的代碼嵌在其App內部,用於將人類的語言轉換成文字,並上傳到服務端。服務端將這些文本進行處理後,與對應的用戶進行綁定。如果說兩個App之間有業務的合作,那麼他們將可以共享這項資源,」宋宇昊表示,「按現在的網速和機器性能,這波操作可以認為是實時完成的。」
然而,儘管這一情形在技術上可以實現,但宋宇昊認為,這並不代表相關App已經進行了這樣的操作。
騰訊手機管家安全專家楊啟波對此表示也認同,「有麥克風權限,不一定就會偷聽用戶說話。」楊啟波表示,儘管麥克風「偷聽」還很難確定,但出現如此巧合,極有可能是App在利用其他渠道獲取的大數據進行測算,「比如根據你當前所處的位置、經常光顧的餐廳、之前的搜索習慣等等數據來預測你的潛在需求。
現在的大數據智能推薦平臺已經可以通過多方面來運算,比如某些短視頻App,可能會根據你1~2個小時候刷新短視頻的習慣、 停留時長……來推斷你的興趣範圍等。」
另一家數據公司負責人則表示,外賣App 推送相關的店鋪有兩方面可能,一是推薦系統的冷啟動機制,即雖然用戶沒有在App上搜索或者點擊過,但推薦系統會根據用戶所在的區域、年齡層次、時間段等大範圍數據來做推薦,但也不排除確實有些App會利用麥克風權限對訂餐、店鋪等語音信息進行獲取。
指掌易科技相關技術負責人覺得出現類似情況純屬巧合,「在國內監管日趨嚴格、對個人信息安全保護重視程度日益加強的背景下,無論從業務本身還是法律範疇來看,監聽用戶對話並不是一個明智的選擇,這麼做只會給企業經營帶來非常大的風險,得不償失。所以基本可以排除某個App自動監聽的可能。」
針對「偷聽」,美團餓了麼緊急回應
餓了麼方面表示,所謂「監聽用戶日常對話並做信息分析」,是一種無端猜測,餓了麼既沒有做類似的產品設置,也不具備相關技術條件,餓了麼嚴格保護用戶隱私,任何必要的信息採集都會在取得用戶事先同意的前提下進行,在合法合規的範圍內使用。
是否「偷聽」,答案依然是未知的
然而,無論覺得如何不對勁,這些巧合都沒有答案。
但另一個巧合是,今年1月開始,陸陸續續有大量App更改了自己的隱私政策,隨著國內《網絡安全法》收緊,歐盟《通用數據保護條例》(簡稱GDPR)給谷歌等網際網路巨頭開出罰單,對於用戶的個人信息獲取、App權限的索取,中國的網際網路公司們明顯變得謹慎許多。也正是今年1月之後,餓了麼上再沒有同類現象在測試中被發現。
如何防範偷聽?
1.正規渠道下載App。如果是非正規渠道提供的App,可能未經審核,也可能本身存在木馬病毒等,運行後會自動竊取用戶信息。
2.使用App時,要注意權限問題。騰訊社會研究中心和dcci網際網路數據研究中心曾在2018年上半年對869個安卓手機App、275個ios手機App的三類隱私權限獲取情況進行調查。從調查結果看,獲取「打開攝像頭」權限的App比例達到89.9%,獲取「使用話筒錄音」權限的App比例達到86.2%。基於此,智慧型手機用戶、特別是使用安卓系統智慧型手機的用戶在App提出隱私授權申請時,需要多留一個心眼,判斷一下相關App提供的服務是否與用戶授權的隱私信息相關。如果關係不密切,應當主動選擇拒絕授權,因為很多隱私洩露發生在用戶授權之後。
不論是使用安卓系統的手機還是使用ios手機,都有「隱私」選項,用戶可以在使用App前,通過這些選項取消那些與App功能不太密切的授權,包括不讓App使用攝像頭或麥克風。那麼,在App沒有木馬病毒、又沒有黑客入侵的情況下,用戶的信息安全是有保證的。
3.謹慎使用公共wifi。很多黑客入侵都發生在黑客掌握相關wifi環境的條件下,所以用戶在使用公共wifi時,特別要注意避免使用那些可能導致信息洩露的App,包括登錄帳戶、轉帳等。即使使用家庭wifi,也需要使用較為複雜的密碼或經常更換密碼。
參考資料:
1.《IT時報》 隔屏有耳,記者耗時3個月測試,美團餓了麼是否在「偷聽」?
2.新民晚報
3.圖片均來自網絡