近年来随着智能手机应用的逐渐普及,我们经常会发现只要和朋友聊天时提到某样商品,打开购物软件,立刻就会收到相关推荐。疑似存在手机App偷听行为:
·比如说想喝奶茶,打开外卖软件,首页就会推荐奶茶。
·刚和同事说想买iPhone13,打开购物软件,首页会出现iPhone13分期免息的推荐。
这类行为确实容易让人联想到我们被App偷听了,而是否App真的能够实现监听,他们是如何获取我们的隐私信息的,让我们接着往下看。
实现监听,并不困难
理论上来说,App想要做到对用户的监听,只需要获取用户手机的麦克风权限即可。
根据目前的研究来看,即使我们不给App授权麦克风权限,App仍可在用户不知情、无需系统授权的情况下,利用手机内置加速度传感器采集手机扬声器所发出声音的震动信号,实现对用户语音的窃听。(详细内容可下载附件中的论文来进行阅读)
手机监听,没有必要
那么,手机App真在监听我们说话吗?
从技术和业务的角度来分析,手机App监听用户语音谈话,会有几个问题:总得来说,监听用户语音来推广告,实际上是个吃力不讨好,得不偿失的事情,不大可能有App这么做。
1. 技术上要实现这一点,有两个方案可选。一种是直接收集原始录音进行分析,这会产生明显的持续的流量消耗。另一种是手机本地对语音进行语音转换和自然语言处理,收集提取出的关键字,这样让手机持续有明显卡顿,而且耗电大增。这都是用户很难忽略的明显影响。
2. 除了对资源消耗和使用体验有明显影响,在苹果和安卓系统中,App后台持续进行录像和录音,在权限管理上很难绕过,一旦进行在手机上会有明显提示。私自录像和录音不比收集搜索记录这些小打小闹的动作,一旦实锤,法律、舆论、行业后果会非常严重。
3. 直接对着话筒有目的地进行语音转换,准确率有时都不如人意,更何况后台录音这样环境复杂且不可控的录音,语音转换的效果可想而知。用户一天谈的话中,出现广告投放感兴趣的内容本来就非常稀疏,更糟的是识别和转换的效果又差。广告投放是有成本的,放着更好的点击、搜索、消费数据不用,跑去用这些成本高、质量差的数据,不合道理。
隐私泄露,从何而来
那么,既然没有监听,各种手机App上精准的广告推荐,又是如何做到的呢?
其实“偷听”你的并不是麦克风,而是其他方式,甚至很多时候这些信息是你“主动”提供的。
泛滥的越界权限
这一切从你使用软件的第一秒就开始了。当你注册新账号时,都需要勾选统一的服务协议。但这些协议往往条款繁多还不说人话,大多数情况下,你都是一个劲儿点同意就完事儿了!但你的个人数据,早就在暗中被“标好了价格”。开始使用前,软件还会要求各类权限,比如我们打开定位权限才能导航,打开录音权限才能通话,这都属于正常的要求。但如果一款修图软件一定要读取你的通讯录,一款打车软件一定要接入你的相册,这种越界行为就很可疑了。这些过度要求的权限,都为你的隐私泄露,撕开了口。
比如,你授权使用的“位置”信息,如果不勾选“使用App期间才能获取”,就会随时随地定位你的位置,就像多了个24小时全年无休的“小跟班”;你授权的“通讯录”信息,也不会跟你客气,从七大姑八大姨,到现女友前女友,都给你扒个干净。
算法可能比你更懂自己
关掉权限,还能不能正常使用先不谈。就算什么权限也不要,软件能记录的信息也远超你的想象。拿购物软件举例,你在购买前输入了什么关键词,选了哪些商品,在页面停留了几秒,付款前犹豫了多久,或者是在哪一步放弃了购买,这些信息,无一例外都被如实记录。不仅如此,给哪个视频点过赞、下单过哪家外卖的夜宵、睡觉前一般几点放下手机,甚至是打车频率、理财习惯......这些你记不住的小细节,软件都帮你记得一清二楚。当拥有了足够的数据,算法就可以为你打上各种标签,刻画出一个虚拟形象。你,也并不是你,而是由各种标签组成的集合。你的每一个新的行为,都会为自己贴上一个新的标签。随着时间的累积,这种虚拟形象也变得越来越精确。
广告主根据这些特征标签,就可以自由选择目标受众,选定广告位和投放时间。当符合需求的用户点开App,那个最契合用户需求、或者说用户看完觉得“刚好需要”广告,就会自动弹出。基于大数据以及用户画像,推断和预测你的行为,精准投放广告根本毫不费力。
监管治理,重拳出击
所幸,个人隐私问题已经引起了社会各界的重视。
近年来,我国也高度重视App个人信息保护工作,从法规标准、专项治理、企业自律等方面多管齐下,加大治理力度,也得到移动应用生态各个环节的积极配合和社会公众关注。最为值得关注的是,2021年我国相继颁布了《数据安全法》、《个人信息保护法》,结合已经施行的《网络安全法》,我国已构筑起数据安全和个人信息保护的监管顶层设计。同时,中央网信办、工信部、公安部、国家市场监督管理总局联合成立的“App专项治理工作组”,也表明了我国对个人信息保护工作的重视,进一步激发消费者、媒体等相关方的关注,对App个人信息保护合规具有深远影响。
写在最后
我们目前针对“监听”能够做的是首先确保自己给予App授权的最小必要。如果存在App违规获取超出实际使用范围的权限,我们是可以去工信部网站进行举报的。要利用好国家赋予我们投诉举报的权利。
也许,在数据时代,绝对的隐私安全是可望不可即的,但我们仍在与信息泄露不断斗争,因为每个人都值得一个更加安全的网络环境。
参考文献:
1. 《这些软件,正在“偷听”你聊天!》 网易沸点工作室《硬核看板》栏目
2. 《手机App在监听我们说的话吗?》 公众号: KAMI说
3. Ba, Z., Zheng, T., Zhang, X., Qin, Z., Li, B., Liu, X., & Ren, K. (2020). Learning-based Practical Smartphone Eavesdropping with Built-in Accelerometer. In NDSS. Learning-based Practical Smartphone Eavesdropping with Built-in Accelerometer.pdf
来源:网易安全中心微信公众号