电竞

如果外卖APP想窃听我有几个骚操作

2019-08-12 06:10:32来源:励志吧0次阅读

  如果外卖APP想窃听我,有几个骚操作?

  人类总有一种控制欲。

  比如Siri,可能就是为了满足人懒又喜欢场控设计的东西。

  但如果里的APP脱离了控制,开始长耳朵听你说话了,人就慌得一批。

  想象下,某天下班后饥肠辘辘的你向男/女朋友撒娇说想吃生煎包,结果打开外卖软件明晃晃被推荐了一溜生煎包店家,就差软件直接开口说:“亲亲,这里建议点XX,XXX家的外卖呢。”

  这不是科幻电影里我和我的恋爱了,而是等,我的成精了,它在窃听我。

  纯属偶合?3月18日,IT之家报道了几起APP窃听真实事件。

  2018年11月中旬,上海的孙女士在和同事闲谈时提到想喝CoCo奶茶,在打开饿了么App时,在推荐商家首位看见了CoCo奶茶。让孙女士疑惑的是,自己之前从未在饿了么买过CoCo奶茶

  ,在她后台,同时打开了淘宝、、知乎、微博等多个App,“此前也没有使用任何App搜索过CoCo奶茶的相关信息。”

  类似的,北京一名友在2018年11月14日晚上8点左右,跟朋友说想吃鳗鱼饭,1分钟后打开支付宝上的饿了么应用,推荐位顶部恰巧显示着一家鳗鱼饭的外卖店,此时距离他上次下单鳗鱼饭相隔23天。

  为了再次验证这一现象是否纯属偶合,第二天中午,这位友自行对着进行了一轮测试。在没有打开应用的情况下,他大声说想吃披萨,随后才打开了支付宝里的饿了么运用,在推荐位首页中出现了一家披萨店,“这家店的披萨我曾经点过,但也应该是半个月前。”

  在知乎上搜索“APP窃听”关键词,会出现一大批相似问题。

  图片来源:知乎

  看起来这类“窃听”已无孔不入,APP真的变成耳朵,在搜集用户声音进行推销吗?

  窃听风云让我们看向“窃听”技术。

  目前iOS系统和Android系统的权限管理机制都已经成熟,Android6.0以后麦克风权限属于危险权限,所以APP自说自话,开启麦克风进行窃听其实不现实,但如果采取迂回政策,通过另外一款已获得麦克风权限的APP进行窃听可以吗?

  不能直接听墙角,隔着一堵墙总行了吧。

  还真有可能,KEEN GeekPwn实验室的安全研究员宋宇昊告知,由于操作系统的保护,一个已获得麦克风权限的APP,在前台访问时屏幕不会有任何提示,但如果把这1软件切换到后台,如果软件继续访问麦克风,屏幕会出现红线显示,通知用户。

  所以“窃听”只能发生在用户前台运行某个获取授权的APP,并在随后切换的另一个平台,出现相关推荐。(那些错觉没有打开任何APP就能被监听对话的戏精友可以歇一歇了)

  这种推荐类似你在访问安装了某广告插件的A站时,进行了搜索点击操作,再去访问B站时,可能发现广告栏是根据刚刚的阅读行动优化过的推荐广告。

  回到APP上,“用户在使用某个已获取麦克风权限的聊天APP进行语音输入时,语音识别代码可以将其翻译成文本提取出来,并与账户本人信息匹配关联。这时候切换到外卖APP,如果两个APP之间有业务合作,可以进行用户肖像同享,外卖APP就能根据相关数据进行有针对的推荐。目前这一路径已经完全成熟,且有一条共享资源的传输链路。”

  除此之外,另一种方式是针对 Android 系统直接在本机上跨APP数据传输。Android 系统允许APP之间不经过云端相互传输数据,但需要两个APP间进行合作,一端发送数据,一端接受数据,作为用户则毫无感知。不过这种方式需要将代码固化在客户端APP里,很不灵活,所以较少被采取。

  窃听技术是不是存在壁垒?

  如果对这1过程进行简单描述就是APP将从麦克风输入中捕获的行为特征进行分析后,通过云端分享给合作伙伴进行精准推荐。

  “第一环节运用的技术是目前已经非常成熟的语音辨认技术;第二环节是现成的技术,在APP中提取相关文字发送至云端;第三环节是在云端分析文本特点,并和用户身份关联,在大数据时代很容易做到;最后将这类关联分享给合作伙伴,根据用户身份相干联的行动特点数据进行精准推荐,这也是成熟模式。”

  说到底这与浏览器推荐广告的模式是一致的:用户在不同页留下行动数据后,广告服务提供商收集这些数据有针对性进行广告推荐。

  在宋宇昊看来,即便在上述环节中可能由于嘈杂的环境以及方言混杂可能带来一定操作难度,但就目前机器性能和络性能来讲,这四个环节完全可以压缩到几秒钟之内完成。

  这是一个成熟的链条,只不过不知道目前有没有人采用。

  还有证据?

  为了取证,IT时报的来到上海软件测评中心对两款App进行数据包的抓取测试。

  在数据抓取进程中,由于饿了么App使用了开发者设定的证书绑定技术,致使非开发人员无法使用Charles等抓包工具抓取饿了么App的数据包。但从美团外卖App的抓包结果来看,在测试的一段时间内,抓包工具中抓取到了近400个与美团外卖相关且大小不一的数据包。这其中也包含在安静的环境中美团外卖App产生的少许数据包。

  “我们抓的这些包,就是打开App操作时,和服务器之间通信的各种数据,”上海软件测评中心技术人员表示,如果App偷听的情况真实存在,那么就隐藏在这些数据包中。但难点在于如何在大量数据中分辨出哪些是客户端与App之间正常的请求数据、哪些是App用于搜集用户语音信息的数据。

  由于分辨数据包需要花费大量的时间,所以短期内没法取得对数据包进行分析后的结果。

  但对于这类数据抓包方式,宋宇昊认为还不充分。

  “抓包不是很现实,毕竟中提到的几款APP已经非常成熟,直接从和云端通讯抓包,一方面有加密问题,另一方面APP可能会对数据封装,并不是明文,即便经过处理可能还是看不到。”

  这类场景下,仅进行数据抓包分析还不够。“如果对APP进行逆向分析,结合调试,深入到软件内部观察代码写法,其中运用了哪些逻辑,在用户没有发觉情况下打开了麦克风,可以追踪数据流向,这会是比较有力的证据。”

  不过这类方式代价较高,需要专业人士,而厂商也不愿意第三方对其软件进行逆向。

  臣妾做不到对于上述指控,饿了么与美团第一时间进行了回应:

  饿了么相关人士表示,所谓“监听用户平常对话并做信息分析”,是一种无端猜想,饿了么既没有做类似的产品设置,也不具有相关技术条件,饿了么严格保护用户隐私,任何必要的信息收集都会在获得用户事前同意的条件下进行,在合法合规的范围内使用。

  美团人士则回应称,有关“根据麦克风收录的语音关键词为点外卖的用户做推荐”的行动其实不存在,美团外卖只会在取得用户语音使用授权,且用户主动发起美团外卖App内的语音输入行动时,才会使用麦克风。此外,美团外卖仅会在用户表达了明确需求信息、进行主动查询后,才会进行相关推荐输出。

  回顾之前各大公司的回应态度,去年1月,本日头条被指乱用麦克风监听用户说话,随后发表声明称:用户使用本日头条(包括头条旗下产品)录制视频时会用到麦克风。除非用户明确点击授权,否则无论哪种机型,本日头条都没法获得麦克风权限,没法收到用户任何语音信号。从技术上看,目前声音信息的处理,也远达不到通过麦克风获取个人隐私的水平。本日头条也绝不会在用户不知情的情况下收集用户隐私数据。

  同一时间,百度旗下 APP也被指涉嫌 “监听、定位”,随后百度回应:百度App不会、也没有能力“监听”,而百度App敏感权限均需授权,且用户可自由关闭。

  总之,面对窃听风波,各大公司的回应充斥着熟悉的配方:我不是,我没有,我不行,臣妾做不到啊!

  更有意思的是,围观大众并不买账:你能,你有,你可以!

  这场争执似乎从未有定论,APP是不是监听用户仍处于猜测阶段,没有任何证据。宋宇昊认为虽然这一情形在技术上可以实现,但其实不代表相关App已经进行了这样的操作。

  对厂商来说,除了需要考虑技术成本,功耗也是一个问题。斟酌倘若APP一直开启监听麦克风,需要不断辨认麦克风语音输入,必然会增加功耗。

  清奇脑洞

  纵观以往“窃听”事件,终端用户多少有些无能为力,仅针对打开麦克风权限的APP来讲,用户可以避免探讨某些敏感事件。

  在这条下看到了千奇百怪的脑洞:

  友A:为何我觉得好贴心,像极了爱情?

  友B:我刚刚测试了下,想吃烤肉饭,打开APP后发现并没有推荐相干店家。因而我顿悟了,他们一定是能根据我的意识强烈程度分析,这叫脑控,分析出来我不是真的想买。

  友C:看来要讲方言了

  友D:百度一下孕妇效应,即偶然因素随着自己的关注而让你觉得是个普遍现象,就是当人怀孕了就更容易发现孕妇,你开了奔驰就更容易看到奔驰,你拎个LV就发现满大街都是LV。世界其实挺美好的,看人把内心投射在哪里,而要投射前,先让自己的内心美好起来。相由心生,境由心造。(杨超越表情包)

  你是怎样看APP窃听事件的?欢迎到(公众号:)宅客频道(公众号:letshome)留言吐槽。

  原创文章,未经授权禁止转载。详情见转载须知。

璧山县养生网
姜堰亲子育儿网
西宁民生网
分享到: