关不掉的麦克风:谁在“偷听”你的手机?

闭门家中坐,隐私被收割。这一切,皆因无处不在的智能手机麦克风……

“我可能被‘今日头条’偷听了”?

 至少自2017年2月起,便已有敏感的用户,开始怀疑可能被今日头条APP“偷听”了。

一名ID为guanyao1121的网友,以“细思极恐!头条在偷听我的对话内容?”为题,于2017年2月5日,在百度贴吧的“手机吧”里,讲述了他的遭遇与疑虑。 

一个月后,另一今日头条用户,在“东林论坛”上阐述类似遭遇与疑虑时,使用的标题名为:“本人从今天开始卸载今日头条,永不再用”。 

顺着无处不在的手机麦克风,“西餐”与“电饭煲”之后,迄今尚有“菜谱”“草莓”“温泉”“汽车”……等诸多质疑今日头条APP利用手机麦克风偷窥隐私的事例,散见于网络之上。

“你以为只有今日头条吗”?

如是反问,来自于某网友对上述“电饭煲”一事例的评论。弦外之音不言自明。

“念念不忘”的人多了,回响自然不会缺席。

2017年8月23日,坊间酝酿多时的“手机APP过度收集个人信息、涉嫌侵犯消费者个人隐私”之悬疑,终经第三方机构之手而遭遇“实锤”。

彼时,江苏省消协举行的“关于手机应用程序侵犯消费者个人信息安全”发布会上,当地消协法援部工作人员通过现场检测证实,一部手机上装载的100多个APP中,79个应用可获取定位权限,23个可以直接向通讯录上的联系人发送短信,96个可以直接发送彩信,此外还有14个应用可以监听电话和挂断电话。

更可怕的是,这些权限获取是在不知不觉中完成的。

“其实我们现在能看到的这些权限设置,也不是全部的,这只是我这个手机能检测出来的。还有很多手机,消费者完全看不到权限设置,软件就已经自动安装完毕了。”进行检测试验的该法律援助工作人员如是说。

这100多个APP应用,对于智能手机用户而言必然不会陌生,一如百度阅读、百度输入法、百度浏览器、手机百度、平安壹钱包、蜻蜓 FM、爱奇艺、网易支付……等等,谁的手机上还没有一两个这样的热门应用?

江苏消协方面推手之下,一些厂商选择主动整改;而亦有一些厂商不为所动,并因此招致了公益诉讼。

于是,在2018年伊始,百度遭江苏省消费者保护委员会提诉、指控其旗下APP涉嫌“监听电话、定位”的消息,便因此扩散到更多人的视线之中。

科技大佬的“矜持”

根据新京报的报道,江苏消保委和百度之间一个重要的分歧点就是,手机百度、百度浏览器是否存在过分调用用户数据的问题。

此前,江苏消保委表示,用户在安装手机百度、百度浏览器两款APP前,未被告知百度公司获取各种权限的目的。作为搜索及浏览器类应用,上述权限并非提供正常服务所必须,已超出合理的范围。

而百度的回应——如我们当前所知那样——则是:“百度APP不会、也没有能力‘监听电话’,而百度APP敏感权限均需授权,且用户可自由关闭”。

为了印证这样的说法,以及表达己方的“委屈”,手机百度高级经理田彪在媒体沟通会现场,展示了一段手机百度安装并获取权限的视频。

视频显示,一台清空了所有用户信息、恢复出厂设置的手机,在首次下载安装和使用手机百度APP时,会明确弹窗提示用户是否授予电话、位置及存储权限。而当用户需要使用图像搜索和语音搜索时,则弹窗提醒用户授予摄像头及麦克风权限……

不过,也有好事的记者在重复百度方面上述演示的时候,尴尬的发现:拒绝授予上述权限后,两款百度APP应用就都无法开启……

不仅如此,该记者还这一演示中发现,除经同意开启存储和位置权限外,百度浏览器还自动开启了相机权限、电话权限以及麦克风权限;而在“单项权限”一栏中,其开启的权限还包括调用摄像头、启用录音、获取浏览器上网记录……

根据这位记者的描述,事实上,上述权限其均未在打开应用时授权,属于应用“暗中开启”。

当然,对于这样的情况,百度方面亦有说法:“有的系统会授予它认为安全的APP一些权限,权限授予取决于手机系统本身,而并非由APP自身判断和决定。”

需要指出的是,相关记者的上述演示是在安卓环境中进行;而在苹果iOS系统中,用户只要下载安装就可立即使用,并没有出现安卓环境下安装时弹出的权限索取提示,且该两个APP也并未自动开启其他权限。

再回到“同病相怜”的今日头条。

对于来自用户“麦克风窃听”的控诉,今日头条1月4日回应称:除非用户明确点击授权,否则无论哪种手机机型,今日头条都无法获得麦克风权限,无法收到用户任何语音信号。

同时,今日头条还表示,从技术角度看,目前声音信息技术的处理,也远达不到通过麦克风获取个人隐私的水平,其也绝不会在用户不知情的情况下手机用户隐私。

一方面称通过授权可以获取麦克风授权进而收到用户语音信号,一方面又称从技术角度看远达不到收集用户隐私的水平。两相之下,对于具体案例避则而不谈。

“关不掉”的麦克风?

对于百度的“没有能力”与今日头条的“技术远达不到”式现身说法,并不乏业界人士的观点佐证。

一位专业出身的知乎答友便解释说:

“这样做(麦克风监听)对手机的资源、网络的流量的占用都是很大的……持续的语音监控会产生多少数据可以好好想一下,再先进的压缩技术也不可能将这么宏大的语音数据在不影响质量的情况下压缩到难以被察觉的体积。”

“要想通过机器实现这种监听的效果,必须机器能持续准确的识别所监听到的语音内容才能在发现关键字的时候予以捕捉。要是有这样的监听技术,智能语音助手这一块应该早就爆发了革命性的新升级了。”

“监听是一件费力不讨好的事情,需要极高的技术支撑,而获得的数据质量极低,中还要经过复杂的工作才能剥离出并不丰富的情报资源,商业企业是不会做这样费力不讨好的事情的。”

出于业界人士的上述逻辑性极强的观点,显然有着相当的说服力;不过,这一家之言是否足以证明“潘多拉魔盒”的不存在呢?

 为做证实,笔者亦就同样问题请教了一位资深IT人士。以下便是来自该人士的反馈,为了确保信息传递的准确,我们将以第一人称视角代入:

“在所有的开始之前,我先来介绍一款软件——电话录音机。

可以看到,只要打开右上角这个开关就可以截取你所有的电话录音。你问我这软件好不好用?可以明确告诉你:无论是谁给你打的电话证据都会留存在其中。

 接着我们来看看他有什么设置。

“提醒”,也就是说,只要你允许,以后的录音可以不给你提醒。

“音频源”,对的,你没有看错:可以识别麦克风,可以直接从电话线路读取。甚至可以只录一方的声音。

那么我们最关心的问题来了,做到这些需要分几步呢?

继续我们的实验,从市场上下载个软件叫 “system info”,并打开它的要求权限的列表看到,竟然没几项,良心产品啊!但就是这简简单单的几项,便足以说明问题了。

我来给大家解读一下圈红之处:

RECORD_AUDIO:录音权限;

WRITE_EXTERNAL_STORAGE/READ_EXTERNAL_STORAGE:读写内存卡;

READ_PHONE_STATE:访问打电话的状态;

PROCESS_OUTGOING_CALLS:允许应用程序监听、控制、取消呼出电话的权限。

上述这4项是最重要,也是最能讲清问题的——也就是说,有上面4个权限的应用,就有能力监听你的电话。

原理讲清楚了,我们接下来就可以就去看看最近备受关注的那几款应用有没有这些权限。

通过细看今日头条与百度的权限系列图,就是今日头条和手机百度的权限列表,那可是相当的长。得倒的是一个不拉全有——就连PROCESS_OUTGOING_CALLS都有,佩服,佩服!

而且通过权限图中可见,手机百度APP除了监听电话的权限没有,上面说的几个都有。但是需要指出的是,监听电话的这个权限,他们的另一款app百度地图有啊——你要知道,App之间是可以数据共享的!

同时,在上述百度家族两个APP应用中,我还发现了以下危险权限:

  CAMETA:调用摄像头;

DISABLE_KEYGUARD:禁用系统锁屏;

READ_SMS:读取短信的权限;

GET_TASKS:获取最近运行的软件。

至于一些人所说的,“做这个需要花很大的功夫、冒很大的风险上传语音内容”。其实不然,他们只需要在本地分析成文本上传即可。甚至不需要分析所有语音,只需要分析他们关心的词缀,这样工作量会小很多。

本地分析得以实现,上传一些文本还需要很多流量吗?退一步说,你用过手机YY(一款直播软件)没?流量大吗?不要怀疑语音压缩技术,更不要认为这件事很难。

另外你知不知道“数据联盟”、“用户画像”这些冠冕堂皇的科技流行语的涵义?这些有多少会游离在了他们应有的权限之外?

无论如何,在科技大佬视角下,用户都和裸奔在大街没有任何区别——隐私?只是懒得提罢了……”

通过以上实践,我们已知,无处不在的麦克风如何“关掉”,并不取决于身为用户的我们。这些麦克风的音量,已达到了令人“振聋发聩”的程度。

(下载iPhone或Android应用“经理人分享”,一个只为职业精英人群提供优质知识服务的分享平台。不做单纯的资讯推送,致力于成为你的私人智库。)

作者:宇文耀
来源:微信公众号:阿尔法工场