业内新闻

原来App“偷听”,竟无需太高技术门槛?

编辑/作者:安安 2019-03-22 我要评论

外卖App到底有没有在偷听? 3月18日,我们发布的《隔屏有耳,记者耗时3个月测试,美团饿了么是否在偷听?》引发热议。更多人提到,除了外卖App,电商类、资讯类、音乐...

  “外卖App到底有没有在偷听?”

  3月18日,我们发布的《隔屏有耳,记者耗时3个月测试,美团饿了么是否在“偷听”?》引发热议。更多人提到,除了外卖App,电商类、资讯类、音乐类等App都曾出现疑似“偷听”现象,其中,生态圈模式最为完整的阿里系被吐槽最多。

  数据来源:3月19日国内14家主流媒体的微博、微信评论,仅供参考

  但也有网友提出质疑,认为在线“偷听”的数据量过大,App和手机都无法承受如此巨大的计算量,“巧合”很可能是基于现在互联网公司强大的大数据计算和推荐。

  来自云计算、语音识别、白帽子等多个渠道的专业人士向IT时报记者证实,通过授权的麦克风“监听”,并不需要太高的技术门槛,甚至在无网络的情况下都可以实现语音输入,也无需实时上传,只要触发某个关键词后,再提取文本并发送云端即可。

  澎湃新闻的一篇报道中甚至提到,有技术团队仅用了不到5个小时,便在技术层面实现了App锁屏时在后台仍可以“监听”用户讲话内容。

  疑问一:数据大成本高,吃力不讨好?

  专家答:不存在大数据量

  3月21日,澎湃新闻在《团队自编程序证实手机能偷听,安全专家:未发现“偷听”铁证》一文中展示了网络尖刀创始人曲子龙和他的人工智能团队进行的一场测试,仅用了不到5个小时,通过程序员编写示例代码,模拟打造一款手机软件,安装在一部安卓系统手机中,再设置为允许该模拟软件使用手机录音权限,然后将手机屏幕锁屏。

  结果,该款模拟手机软件成功获取了曲子龙团队的讲话内容,并传输给后台服务器转化成文字信息。

  简单来说,就是曲子龙团队从技术层面实现了App锁屏时在后台仍可以“监听”用户讲话内容。

  也有网友质疑,语音数据量巨大,能耗高,“偷听”用户的成本太大,这降低了App“偷听”用户的可能性。对此,曲子龙在视频中表示,可以把需要触发的词做个库留在App上,用户讲话内容一旦触发特定的词,便会唤醒这个应用开始监听及分析,以此降低能耗。

  国内知名白帽子公司KEEN GeekPwn实验室宋宇昊认为,APP完全可以将麦克风听到的语音在上传之前先转换成文字,这已经是很成熟的技术。然后通过在文本里提取关键词发送云端,在云端分析文本特征,并和用户身份关联,给你精准画像,在大数据时代,这些技术都是相当成熟的。实际上,通过App语音输入的方式,在本地将语音转换成文字,上传的只是几个标签,完全不存在大数据量的问题。

  “将一个人一天讲的话处理成文本,也只有几页纸。如果采用关键词唤醒,数据量还会大大降低。将语音处理成文本的技术并不高级,现在很多输入法都能做到。”贵阳大数据交易所执行总裁王叁寿也持同样看法。

  不过,宋宇昊也强调,尽管技术上是可以做到的,但从目前观察来看,无法对App是否“偷听”做出结论。

  未来技术的发展将进一步降低“偷听”的成本。

  事实上,早在20世纪90年代,用于离线语音输入的PC客户端软件就已经出现。宋宇昊指出,随着近些年人工智能的发展,这一技术已经非常成熟,可以不依赖网络在手机中流畅地输入,甚至,一些语音输入的App可以在手机离线无网络的情况下实现语音输入。

  “1分钟的音频,只有100ms(毫秒)的延迟。”科大讯飞的技术专家说道。按现在的网速和机器性能,以上的操作可以认为是实时完成的。

  同时,随着边缘计算越来越成熟,“偷听”的成本还将大大降低。

  一位大数据技术专家向IT时报记者阐释,边缘计算可以解决传输成本、存储成本及云端搜索等问题,但技术难点在于离线计算的准确率。

  这并非凭空猜测。据上述专家介绍,在车险行业,车险服务商已经推出基于驾驶行为的保险,通过内置摄像头的行车记录仪和边缘计算+面部图像识别技术,系统能够捕捉驾驶员打哈欠、闭眼、打电话、抽烟等异常动作,这些数据都将用来做车险的风控模型,比如保险人的保费测算,而数据源是车内摄像头拍下的视频,通过边缘计算,可以大大降低数据上传量。

  近两年,AI手机概念渐成主流,随着手机的算力越来越强,计算都边缘化了,不需要云端计算的过多参与,那么,“偷听”这种技术成本就越来越低了,而且这个未来并不遥远,“在现在的终端成本上再增加1000元左右,就能支持边缘计算。”一位技术专家对IT时报记者展望。

  疑问二:没开权限,如何“偷听”?

  专家答:数据共享普遍存在

  “在同一生态里,底层数据库都是共享的。”王叁寿说道。

  3月15日,恩惠(化名)与同事们正在讨论共享电单车电瓶回收的事情,10分钟后,她打开了闲鱼,却突然看到了满屏的电池、电瓶、逆变器以及二手电瓶车转让信息,此前,她从未在闲鱼或淘宝上搜索过相关商品。恩惠怀疑闲鱼在“偷听”自己,可打开设置一看,闲鱼、淘宝的麦克风都是关闭状态,但阿里系App中的高德地图麦克风是开启状态。

  为了进一步测试是否巧合,恩惠和同事们开始讨论AirPods,过了一会,刷新后的闲鱼首页变了,二手AirPods开始出现在推荐位。“细思极恐”的恩惠关掉了高德地图等所有阿里系App的麦克风权限。

  上海市软件评测中心的工程师从技术上向IT时报记者解读了数据如何共享,一是通过爬虫跨网站追踪用户信息,二是App之间采用同一个SDK开发,或双方开放数据接口发送数据包,实现共享。

  也就是说,可能存在的情况是,A虽然没有获得用户的麦克风或者读图权限,但是完全可以通过有权限的B获得的信息,实现数据共享。这一点,从这些App的隐私协议中可见端倪。

  IT时报记者在查看了近20款主流App的个人隐私协议后发现,超过95%以上的App都会将自有用户个人信息共享给第三方或合作伙伴。比如,淘宝网隐私权政策中提到,“为便于我们基于淘宝平台账户向您提供产品和服务,推荐您可能感兴趣的信息,识别会员账号异常,保护淘宝网关联公司或其他用户或公众的人身财产安全免遭侵害,您的个人信息可能会与我们的关联公司和/或其指定的服务提供商共享。”

  “同时,我们在使用阿里系其他App时,淘宝网也会从关联公司接收、汇总、分析用户的个人信息或交易信息。”

  在IT时报的另一篇报道,《到底是谁出卖了你的隐私?315晚会没曝光大厂,我们敢!》一文中记者指出,互联网巨头们不仅在自己的生态圈里共享数据,还会向生态圈外的公司分享用户画像,只要用一个手机设备号(IMEI码),就可以在广告联盟间追踪用户的标签,用以精准投放广告等。

  除了数据共享、用户画像服务外,还有很多公司打着大数据的幌子进行数据交易。据IT时报记者了解,一幅包含公积金、微信余额、淘宝购物记录、通话记录等数据画成的用户画像被“贷款超市”以50元的价格售卖,美其名曰“风控”。另一头,大数据公司又从广告主那拿到了广告费,注册一个用户,广告主给10元,一次点击给0.8-1元,千次展示给15元。

  疑问三:说方言能防“偷听”?

  专家答:人工智能可识别20多种方言

  有用户质疑,当下人工智能还很“傻”,智能音箱等硬件常常无法和人自然互动,手机上的App真可以听懂我说话吗?

  3月18日,阮女士与同事在聊天中提起菠萝与凤梨的区别,随后无意打开百度App,就在首页看见了“菠萝和凤梨的区别”的推送。

  “打开百度就是想找找答案,可没想到还没搜索,App就自动推送了答案,而此前也从未搜索过任何关于菠萝和凤梨的关键词。”据阮女士回忆,在与同事讨论时,手机并未打开手机百度App,在手机的隐私权限中也并未给百度App开放语音权限,到底百度为何如此“聪明”,她并不知道原因。

  陈女士也有类似遭遇。一天在与长辈一起吃饭时,听长辈们聊起开幼儿园话题,当天晚上,陈女士打开百度App,便看到了关于“开办私人幼儿园”的内容。陈女士告诉IT时报记者,当时长辈们聊天的时候,她并没有参与,只是在刷微博和淘宝。

  目前听懂人类说话,人工智能要经历语音识别和语义分析两个阶段,在语音识别阶段,国内相关公司已经做得相当精准,也就是所谓的将语音转化为汉字,准确率超过97%,拿科大讯飞来说,目前支持中、英、日、韩、俄等约10种语言的语音识别,讯飞输入法支持23种中国方言识别。

  技术难度在语义分析阶段,需要系统根据用户数据进行智能分析,并进行精准的推荐,但国内几大人工智能公司,目前技术进步也非常快。

  多位行业人士认为,就当前的技术水平而言,让人工智能听懂,提取关键词并打标签,也就是完成语音识别的难度并不大,然后在云端完成语义分析,这已经是成熟的技术。

  企业回应

  百度:没有能力监听电话

  阿里:截至发稿,并无回应

  对于这些用户提出的质疑,百度回应IT时报记者称,不论苹果系统还是安卓系统,从保密用户隐私角度出发,绝对不可能为 App 开放或者设计这样的 API 接口,百度的手机应用没有能力、也从来不会申请所谓的“通话监听”这一权限。

  然而,尽管“通话监听”这个权限没有被申请,但对于麦克风权限的开启,无论安卓还是苹果,百度都可以申请用户授权。不过,百度对此解释,只有用户主动开启语音唤醒功能,才会开启麦克风,也就是说,喊小度小度,调起搜索才能开启麦克风使用权限,而且当百度App切到后台后,麦克风权限便会关掉。

  截至20日晚八点记者发稿,阿里尚未回应是否存在利用生态系统内某个App的麦克风权限获取关键词,为用户精准推送的情况。此前,饿了么曾在本报第一篇文章中回应,不存在“偷听”,饿了么既没有做类似的产品设置,也不具备相关技术条件,饿了么严格保护用户隐私,任何必要的信息采集都会在取得用户事先同意的前提下进行,在合法合规的范围内使用。

  记者手记

  请你不要比“我妈还懂我”

  从外卖软件到互联网生态系统,到底这些App有没有“偷听”用户,是个“罗生门”。

  尽管从技术层面来看,利用现已成熟的技术就能简单地从用户的语音里抓取关键词,并进行精准推送,这事并不难,但究竟App是否在偷听,我们依然无法下论断。

  如今,互联网公司大多将上传的数据进行加密,如果想解密,不仅成本、技术门槛高,其中也存在一定法律风险,因此很难抓到“现行”。

  但通过几个月的持续观察、大量的用户统计、场景复现测试,以及大数据共享的广告联盟追踪、App隐私协议探究,我们想要说明的是,无论是“偷听”、“偷看”还是使用所谓的“大数据画像”,都已经在触碰用户隐私保护的底线,这也是为什么第一篇文章引发全网激烈讨论的原因。

  最近几天,因为关掉不少权限,记者发现,不少App似乎没那么“懂我”了,我们不知道原因是什么,但这总是一个令人欣喜的现象。

  因为,比我妈还懂我,意味着,作为个体,我已经失去自由。

文章来源:IT时报

1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3.作者投稿可能会经我们编辑修改或补充。4、对于网友投稿的文章请仔细核对其真实性,如遇要求汇款转账情况,请格外谨慎。

相关文章
  • 第二届华为DIGIX安全攻防大赛正式开幕

    第二届华为DIGIX安全攻防大赛正式开幕

  • 严把网络安全关|CIS 2020天威诚信精彩亮相

    严把网络安全关|CIS 2020天威诚信精彩亮相

  • 鼎和保险公司荣获CIS2020中国网络安全创新年度金

    鼎和保险公司荣获CIS2020中国网络安全创新年度金

  • 通付盾荣登《2020中国网络安全产业100强》榜单

    通付盾荣登《2020中国网络安全产业100强》榜单