微信扫一扫
分享到朋友圈

5小时自编程序,证实手机能偷听

作者:澎湃新闻 来源:澎湃新闻 公众号
分享到:

03-21

实习生 闫彩琪 澎湃新闻记者 陈兴王


经过测试,技术层面实现了App锁屏时在后台仍可以“监听”用户讲话内容(02:22)


美团、饿了么否认存在“偷听”行为,网友们对此却不埋单,纷纷晒出自己被偷听“证据”。


是巧合?还是手机软件真的在“偷听”?


3月20日,澎湃新闻邀请网络尖刀创始人曲子龙和他的人工智能团队做了一个测试。


曲子龙团队仅用了不到5个小时,通过程序员编写示例代码,模拟打造一款手机软件,安装在一部安卓系统手机中,再设置为允许该模拟软件使用手机录音权限,然后将手机屏幕锁屏。


结果,该款模拟手机软件成功获取到了曲子龙团队的讲话内容,并传输给后台服务器转化成文字信息。


曲子龙告诉澎湃新闻,经过测试,技术层面实现了App锁屏时在后台仍可以“监听”用户讲话内容。他认为,如果将一款App从手机后台彻底关闭,仍可以实现“监听”。


对此,曲子龙建议,尽量不要给非社交相关软件摄像头、相册、通讯录、语音、短信记录等相关的敏感权限,这样可以最大限度保护隐私。


但国内某知名反病毒软件公司一位安全技术专家认为,“偷听”从理论上可以,实际上有没有做,还需要一系列完整证据链;国内App有没有类似的“偷听”情况,目前还没有安全研究人员发现铁证。


人工智能团队自构建一款App实现“偷听”


美团、饿了么深陷“偷听门”之后,又有网友纷纷举证称淘宝、菜鸟裹裹等手机App也存在“偷听”。


今年3月3日,在国内知名问答社区知乎平台上,就有网友发帖称其可能也遭遇了“偷听”。其中一位网友晒出了图片称,在使用手机淘宝时,发现主页推荐了曾搜索过的化妆品之外,还推荐了玉米。该网友怀疑是手机App监听到女友喊妈妈“你明天去买点玉米”的对话。


知乎网友分享疑似被“监听”经历


无独有偶,2018年12月28日,也有网友发帖称,其女友妈妈患脑溢血,聊天时曾谈到“雾化”,随后在使用“菜鸟裹裹”查看物流时,在“猜你喜欢”一栏中看到了医疗雾化带的推荐。


知乎网友分享疑似被“监听”经历


3月20日,网络尖刀创始人曲子龙告诉澎湃新闻,从技术的角度实现后端监听,确实是可以做到。


20日下午,网络尖刀人工智能团队用不到5个小时时间,自己构建了一个App,并将此App装载在一款安卓手机上。


经测试,在手机锁屏后,只要App进程没有结束,仍然可以实现在用户无感知情况下窃听并录制用户身边音频内容,并将数据通过NLP处理方式传到服务器,用于做大数据分析。


NLP技术即自然语言处理技术,一种让电脑了解人类语言的技术。当前这种技术已比较成熟,即使用户日常使用的主流方言也不会对语音识别有太多影响。曲子龙解释道。


曲子龙介绍,目前大部分手机App都在获取语音权限,主流机型基本都能支持,所以实现监听“门槛并不高”。


同时,针对App后台“监听”可能产生的高能耗问题,曲子龙认为,“其实很容易解决,如果这个需求程序让我来写,我会把需要触发的词做个库留在App上,用户讲话内容触发特定的词,便会唤醒这个应用开始监听及分析,这样就可以降低能耗”。


那么,如果将一款App从手机后台彻底关闭,还能否实现“偷听”?


曲子龙认为,即便彻底从手机后台关闭了某个App,“偷听”的可能性还是存在。


他打了个比方,“如果手机后台关掉了A应用,但B应用仍在后台运行,A应用注册了一个服务对外暴露出去,B应用根据它的服务名可以把A唤醒,这样就不怕服务因人工杀掉(编注:从手机后台彻底关闭)导致无法监听。” 


另外,曲子龙还指出,部分安卓手机在出厂时就设置有默认App获取权限白名单,“他们的App服务很多不会被杀掉,白名单的App想要持续监听就更容易了”。


专家:目前国内安全研究人员还未发现“偷听”铁证


为进一步了解手机App是否会“偷听”用户,澎湃新闻又向多位计算机、网络安全领域专家进行求证。不过,他们出于一些担心,均要求匿名。


对于曲子龙的这个测试,国内某知名反病毒软件公司一位安全技术专家向澎湃新闻表示,整个测试没有问题,单纯的语音监听技术10多年前的手机木马就可以实现,现在多了语音识别技术。


该反病毒安全技术专家认为,当前的问题不在于去验证手机App能不能实现监听,而是能否确定美团、饿了么、淘宝等手机App存在“偷听”。前述测试,显然是无法证实的。


该专家还表示,新闻报道中,通过聊天测试并联想到外卖App窃听用户语音,“这种证明方法完全不科学”,存在偶合性;科学的方法应该是做软件行为分析和数据流量分析,而不是做用户行为统计。


即,要证明App在“监听”,应该对软件行为做代码级的逆向分析,从软件的底层去发现这个软件是不是有监听语音的行为;再从网络连接分析、解密,相关数据是否传输到相关软件的服务器。


“监听从理论上可以,实际上有没有做,这需要一系列的证据链都完整。”该专家介绍,国内App有没有类似的“偷听”情况,目前还没有安全研究人员发现铁证。


如果App并未在监听,这种高契合的用户推荐又是怎么做到的?该专家认为,这些数据可能和电商的广告联盟系统打通,当用户端被匹配了人群的各种标签,广告推送就跟标签关联上。另外,“部分输入法也可能参与了推送环节,当然也仅仅是怀疑。但要证明因果关系,难度很大”。


另一位安卓手机研发工程师则认为,“偷听”在技术上可行,但“操作可能很小”,因为监控语音技术成本太大,如果这么做,手机其他功能使用会有障碍。


他告诉澎湃新闻,一旦某一款App开始监听,势必占用音频锁不释放。比如,当用安卓手机听音乐时,同时打开一个App,音乐可能中断,很有可能就是这个App占用了一下音频锁;或者回到微信却发现语音发不出去,App监听就露馅了。


一位不愿具名的通讯IT专家告诉澎湃新闻,从理论上来说,装载在使用其他软件系统的手机上的App也可能实现“偷听”。但该专家同时表示,装载ios系统的手机由于App来源需要被苹果公司审核,实现后台无感知监听的门槛相对较高。


国内某品牌手机公司一位安全部技术人员告诉澎湃新闻,用户要培养保护自己安全隐私的意识,“安全问题和安全技术也是在不断对抗过程中,逐渐培养起来的”。




本期编辑 邢潭


推荐阅读


阅读40177
程序 手机 
举报0
关注澎湃新闻微信号:thepapernews

用微信扫描二维码即可关注
声明

1、头条易读遵循行业规范,任何转载的稿件都会明确标注作者和来源;
2、本文内容来自“澎湃新闻”微信公众号,文章版权归澎湃新闻公众号所有。

评论
更多

文章来自于公众号:

澎湃新闻

微信号:thepapernews

邮箱qunxueyuan#163.com(将#换成@)
微信编辑器
免责声明
www.weixinyidu.com   免责声明
版权声明:本站收录微信公众号和微信文章内容全部来自于网络,仅供个人学习、研究或者欣赏使用。版权归原作者所有。禁止一切商业用途。其中内容并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。如果您发现头条易读网站上有侵犯您的知识产权的内容,请与我们联系,我们会及时修改或删除。
本站声明:本站与腾讯微信、微信公众平台无任何关联,非腾讯微信官方网站。