今年1月,網民kaikai告訴澎湃新聞記者,自己某天中午跟朋友吃飯時,聊到過單眼相機,隨後12時22分又在微信群中提到「單反」,結果13時就收到了京東發來的關於單眼相機促銷的簡訊。
另一位網民小飯則表示,頭一天在大學寢室裡和室友聊天談論到的藍牙音箱,第二天就出現在了淘寶「有好貨」的推送流中,品牌、型號都一樣,「我平時完全不關注藍牙音箱的,所以才覺得很奇怪,突然給我推薦這個。」
近日,消費者對於手機App會不會偷聽用戶講話的擔憂,開始蔓延。淘寶、京東、餓了麼、美團點評、今日頭條、百度等多款國內主流App,普遍受到用戶質疑。
雖然幾乎所有網際網路公司都再三強調,不存在所謂竊聽行為,但每當這樣的懷疑和猜測被曝出,都會引發廣泛討論。
手機「竊聽風雲」究竟是陰謀論還是確有其事?這些所謂的「大數據智能推薦」,是真的智能,還是竊聽所得?這些智能推薦能否關閉?澎湃新聞記者就此展開調查。
國內主流App獲取麥克風權限理由不少國內網民講述了自己疑似被手機App竊聽談話內容的經歷。
上海的韓先生也向澎湃新聞記者表示,自己去年和女友在杭州九溪散步,其間女友提到想要買一雙「溯溪鞋」,而當晚手機淘寶首個推薦商品正巧也是「溯溪鞋」。「我平時不愛運動,絕不會主動搜索這類相關商品,何況是精確到這三個字?」韓先生說。
類似的情況也在國外出現。有外媒記者發表文章稱,自己和朋友在雜貨店詢問了解之後,買了一些此前未曾聽過的品牌的啤酒。15分鐘後,朋友的Instagram中便出現了該品牌啤酒的廣告。另一篇報導中作者提到,自己在說過「下星期的聚會需要一些花」之後,Instagram裡也出現了花店的廣告。
現在很多App都希望獲取手機麥克風權限,這背後究竟有何用途?
澎湃新聞記者查閱了國內幾家主流App獲取麥克風權限的理由,比如,淘寶、京東等電商App是出於讓用戶方便使用語音購物或與客服語音交互的目的,微信、QQ等社交App則出於語音輸入或語音轉文字等目的,美團點評等生活O2O平臺則是出於分享點評視頻等目的。
但是,這些App會不會假借獲取攝像頭和麥克風權限,隨時監控用戶的一舉一動、一言一行?
國家信息安全漏洞庫(CNNVD)特聘專家、北京未來安全信息技術有限公司CEO王英鍵(安全圈內被稱作「呆神」)告訴澎湃新聞記者,技術上來說,的確可以實現竊聽,蘋果系統複雜一些,調取錄音權限時,蘋果系統會提醒用戶;安卓系統相對容易,比如在安卓平臺下植入木馬,獲得手機更高權限,通過篡改系統,來控制麥克風,截取數據。不僅可以竊聽,還可以發出位置信息,有時候看上去關機了,但實際上它還在後臺運作。
不過,記者了解到,目前基本上沒有App會強制用戶打開麥克風權限,如果不打開依然可以正常使用App。
還有一名要求匿名的國內安全專家威利(化名)告訴澎湃新聞記者,除了App,手機語音助手、智能電視、智能音箱也不能排除在「監聽」你的可能。
國外網絡安全公司Asterix的高級安全顧問Peter Henway曾向媒體表示,從技術上講,手機只會記錄用戶發出「嘿,Siri」或「OK,谷歌」這樣的觸發詞時所說的話,但是由於它需要捕捉用戶所述關鍵詞,手機是會一直保持監聽狀態的。
有法律人士表示,App利用獲取的上述權限對用戶進行24小時不間斷的「監視」、「監聽」,是受到國家法律法規的明令禁止的。
竊聽成本高昂,開發一個木馬成本十幾萬元「但竊聽在實際操作過程中面臨很多挑戰。」王英鍵分析道,無論是蘋果還是安卓,從操作路徑上來看,大量的錄音內容需要分析才能有用,這不可能靠人來處理,那麼就需要手機或者上傳雲端來進行,分析完關鍵詞後再回傳伺服器,給用戶推薦商品和信息。
「如果在手機上進行,這樣大規模的動作,會佔用手機資源,拖累運行速度;如果上傳雲端,這些App都是上億的用戶量,則會產生巨大的流量,對公司來說是很大的成本。此外,還要考慮到談話方言、噪音等幹擾因素。」王英鍵說,「當然也不排除一些特別情況,可以在手機端處理並做到用戶無感。」
而在安卓平臺上,王英鍵還提到,如果竊聽木馬大範圍應用,則會立即被安全廠商查殺病毒。此外,安卓8系統以後,對隱私提出更高要求,當App在後臺操作時,對調用手機硬體更加規範。
王英鍵認為,竊聽這種非法手段風險與收益並不成比例,成本非常高,比如開發一個木馬的成本在十幾萬元左右,而最終推薦效果也並不一定有多好。
上海交通大學電子工程系無線通信研究所副教授錢良也表示:「嚴格意義上的實時竊聽技術的確存在,但這類產品造價高昂且考慮到其特殊用途,目前在民用市場是不可能看到類似產品的。」
360安全專家也向澎湃新聞記者表示,對開發App的企業而言,這種行為會造成設備耗電量的大幅上升,用戶體驗嚴重下降,此外採集到的絕大部分都是無效數據,且體積巨大,傳輸、處理和存儲這些數據都會帶來極高的成本。因此正規App不可能利用攝像頭和麥克風權限對用戶進行「監視」、「監聽」。
安全專家威利表示,「一般情況下,手機、電視、音箱的這種監聽,因為有系統沙箱隔離機制,App不會越權獲取到數據。廠商目前也沒有將數據交給第三方。當然,如果黑客攻擊,則不好說了。」
Facebook廣告部門有一位工程師Antonio García Martínez,在《連線》雜誌上也曾撰文解釋了為什麼Facebook不能監聽用戶。他說了三點理由:
第一,監聽用戶產生的數據非常多,Facebook難負其重。
整個過程就相當於用戶在持續不斷地給Facebook打電話。以用戶使用半天手機來計算,這一過程產生的數據僅在美國就有20PB,是Facebook每天處理數據的33倍還要多。而且,在「打電話」狀態,也會影響手機的其他功能。
第二,像智能助手那樣監控,Facebook很難做到。
智能語音助手都需要特定的觸發詞來喚醒,但Facebook沒有特定的喚醒詞,想從談話中獲取每一個對它有價值的關鍵詞,需要在本地(手機上)將語音轉換成文本進行識別。整個過程,就是算iPhone X,分分鐘也得變成磚。
第三,用戶語音數據,對廣告商來說沒多大價值。
京東、今日頭條、餓了麼、美團、百度回應對於用戶普遍關心的竊聽問題,截至發稿,多家公司對澎湃新聞記者作出回應。
京東方面表示,京東絕不可能,也絕不允許有監聽用戶信息的情況出現。在京東的隱私政策條例中,有明確的規範指出將遵循國家的《網絡安全法》基於「合理、相關、必要原則」收集個人信息,不會收集法律法規禁止收集的信息。而在收集、使用、存儲和傳輸用戶信息的時候,京東會明確告知用戶相關信息的使用目的和範圍。包括如果將用戶信息用於新的目的或範圍將重新獲取用戶同意,提供如何關閉位置、通知等授權的具體操作步驟等。
京東表示,如果用戶對個人隱私的安全有擔心,可以在京東App的帳戶設置中找到隱私設置,關閉需要訪問用戶相應數據的功能,且每一個功能都有相應的用途說明,以最透明的方式讓用戶掌控自己的隱私安全。
今日頭條也回應澎湃新聞記者稱,用戶使用今日頭條(包括字節跳動旗下產品)錄製小視頻記錄生活時,需要使用到手機麥克風,但除非用戶明確點擊授權,否則,無論在何種手機機型上,今日頭條旗下產品都無法取得用戶的麥克風權限,無法收到用戶的任何語音信號。用戶可在手機設置「隱私-麥克風」中查看。
此前,在百度遭江蘇省消費者保護委員會提訴、指控其旗下App涉嫌「監聽電話、定位」後回應:百度App不會、也沒有能力「監聽電話」,而百度App敏感權限均需授權,且用戶可自由關閉。
餓了麼方面此前回應,所謂「監聽用戶日常對話並做信息分析」,是一種無端猜測,餓了麼既沒有做類似的產品設置,也不具備相關技術條件,餓了麼嚴格保護用戶隱私,任何必要的信息採集都會在取得用戶事先同意的前提下進行,在合法合規的範圍內使用。
美團點評方面則回應稱,有關「根據麥克風收錄的語音關鍵詞為點外賣的用戶做推薦」的行為並不存在,美團外賣只會在獲得用戶語音使用授權,且用戶主動發起美團外賣App內的語音輸入行為時,才會使用麥克風。此外,美團外賣僅會在用戶表達了明確需求信息、進行主動查詢後,才會進行相關推薦輸出。
截至發稿,阿里巴巴方面尚未作出回應。
國外App允許用戶智能推薦隱私設置,國內普遍關不掉如果真的不是竊聽,那麼為什麼如此巧合,出現了關聯度如此之高的商品或內容?
有用戶提到,昨天微信聊天說買鋼琴,發了一個某款電子琴的淘寶連結,第二天朋友圈廣告就精準推送了這款產品的廣告。難道自己的聊天過程被監測了?
對此,騰訊微信團隊向澎湃新聞記者表示,微信不留存任何用戶的聊天記錄,聊天內容只存儲在用戶的手機、電腦等終端設備上。微信不會將用戶的任何聊天內容用於大數據分析。
關於品牌朋友圈廣告投放的邏輯,微信團隊解釋,廣告主可選擇把廣告投放給他們設定的目標人群,投放範圍會非常廣,而目標人群是基於用戶群像的研究,微信不會針對某一個用戶的隱私信息進行分析。「上千萬的用戶中有一位恰好之前提到過相關產品,也收到了關於該產品的廣告,用戶便誤以為二者有因果關係。」
京東商品推薦也是類似的邏輯。京東方面告訴澎湃新聞記者,之所以用戶感覺我們好像知道你想要什麼,是基於京東的大數據搜索推薦能力,通過用戶在搜索、購物行為等產生的大數據,例如消費習慣、品牌偏好等信息,以及京東多年積累的用戶畫像數據,京東可準確預測用戶可能感興趣和關注的商品,進而出現在個性化推薦當中。
安全專家威利告訴澎湃新聞記者,竊聽可能只是用戶的幻覺,「如果用了一堆相關的App,就有可能看到似曾相識的商品了。」
他所提到的場景,則是又一種情況。
比如,有用戶提到,淘寶上剛把一款「娃娃領粉色中長款毛呢外套」加入了購物車,之後打開了今日頭條,剛剛搜的那款「娃娃領外套」的廣告出現在頭條頁面上。
或者,在京東搜了「充電寶」,接著打開微信,在微信公眾號的廣告欄中看到了剛剛這款充電寶。
這是一種已經在全球範圍內容成熟應用的廣告技術——程序化廣告。程序化廣告可以實現跨平臺營銷,這背後有統一用戶ID識別,但不會掌握用戶個人信息。對於用戶來說,程序化廣告因其千人千面的精準推薦,常展現出「比你還懂你」的特性。
據了解,淘寶和今日頭條、京東和微信都在廣告層面分別有合作。
另外,安全專家還提到,如果手機上用了第三方輸入法,也有一定概率可能出現「輸入什麼接下來就能看到相關推薦」的可能。雖然搜狗等輸入法不會主動將用戶輸入數據共享給第三方的說法,但不排除一些黑客基於漏洞去偷錄用戶信息的可能。
實際上,有熟悉黑產的人士向澎湃新聞記者直言,通過麥克風竊聽談話來獲取用戶信息,只是萬千選擇中的一種,而這種方式非常低效,卻是大家最敏感的。各大公司如果真的想要「竊聽」一個人的信息與狀態,有太多太多的方法。
「比如接入所謂的第三方營銷系統。」上述人士表示,第三方營銷系統的數據有一部分是正規獲取,但也有一部分營銷系統是從黑市獲取。「黑市上已經有大量用戶信息,從用戶偏好、特徵到預測收入區間,對應手機號和手機mac地址。」
而這也是央視3·15晚會曝光探針的工作原理,探針只能獲知MAC地址,怎麼從MAC地址關聯到手機號,則需要黑市的這些資料庫。
據央視3·15晚會報導,在商場、超市、便利店、寫字樓等地,有一些探針小盒子,去發現附近打開無線區域網(Wi-Fi)的手機設備,隨後迅速識別出用戶手機的MAC地址,轉換成IMEI號,再轉換成手機號碼。在用戶毫不知情的情況下,搜集個人信息,甚至包括婚姻、教育程度,收入等大數據個人信息。
黑市上為什麼存在大量用戶信息?有黑產人士如此說道,「現在我們在安裝軟體的時候,首先第一步需要我們填用戶服務條例,必須點擊同意,安裝好了以後要求開權限,是否訪問用戶通訊錄,訪問手機文件夾,電話記錄,簡訊,允許之後才可以使用軟體,然後通過你使用軟體適合,所產生的用戶數據,可以用於商業營銷用途的。」
不過,澎湃新聞記者查詢淘寶、京東等App隱私策略,這些網際網路公司都表示,會通過技術手段對用戶個人信息等數據進行匿名化、去標識化處理,無法識別特定自然人身份信息。
特別是,用戶比較關切的阿里系平臺之間的數據打通,《淘寶網隱私權策略》寫明:個人信息可能會與關聯公司共享,比如會向合作夥伴提供有關廣告覆蓋面和有效性的信息,但不會提供用戶個人身份信息。這些合作夥伴可能將上述信息與他們合法獲取的其他數據相結合,以進行廣告或決策建議。
那麼,如果用戶還是不放心,是否能關閉智能興趣推薦功能呢?
澎湃新聞記者查詢並詢問了多家國內網際網路大型公司,大多數沒有得到答覆,一部分則明確表示目前沒有這一功能。
3月20日,記者發現,今日頭條App中目前可以支持用戶關閉程序化廣告。如果關閉,用戶看到的廣告數量保持不變,但廣告相關度會降低。
Facebook興趣廣告隱私設置界面相比之下,Facebook、Google、Twitter等國外知名App都會清楚地告訴用戶,為何會看到這條興趣推薦的內容,廣告機制更加透明,用戶可以了解「廣告主投放了哪類人群,而你被認為是目標人群」,並設置允許App根據哪些個人數據類型來展示廣告,如果用戶允許則能看到更加相關的廣告,不允許不會影響看到的廣告數量,但是相關性會降低。而這些數據的來源包括App從合作夥伴獲取的以及App站內活動,用戶可以分別進行設置。
「國外的廣告形態,會比國內更加關注用戶隱私和用戶選擇的權益。在國內,這方面的意識不是最強。」一家網際網路巨頭公司的首席營銷官向澎湃新聞記者坦率表示。
(本文來自澎湃新聞,更多原創資訊請下載「澎湃新聞」APP)