双十一购物,你被精准推送了吗?聊聊手机APP“偷听”背后的故事
在一年一度的双十一这天,鲜有人能管住手不打开各种橙色软件、红色软件、黄色软件、蓝色软件。打开的软件是同一个,不过看到的界面并不一定。为脱发烦恼的可能看到了防脱洗发水;想要换手机的可能看到了最新款手机;而熬夜付尾款太累的,可能看到了香喷喷的炸鸡奶茶……
聊什么推什么,多次看到这些的你,是不是有很多疑虑,甚至还感到恐惧——我们难以摆脱依赖的手机,竟然成了“窃听器”?APP真的在“偷听”我们聊天?我们又该如何保护好个人信息?
在搜狐科技《AI十二谈》第5期直播中,GeekPwn实验室安全专家宋宇昊结合实际应用场景,分析了手机APP“偷听”背后的故事 。本文为直播实录(精华版),供读者参考。
“偷听”从技术上来讲很容易实现,但精准推荐的背后并不是手机APP在监听语音,而是主要由大数据和人工智能所驱动的精准推荐广告的能力导致。
为什么我们经常讲到这个就会想到偷听或者监听?很大程度上是因为这种说法比较形象,容易想到谍战这样一些影视作品,比较有冲击力。
事实上,每个用户在使用电脑、手机等智能设备的过程当中会留下大量的使用记录,包括搜索、购买、浏览、播放、定位等。APP通过采集这些数据,传到云端后台,再去提取特征,就可以刻画出很精准的用户画像,比如用户年龄段、生活习惯,甚至可能通过地理位置和网络IP地址,可以分析出用户跟哪些人在一起工作生活,做出更精准的推荐。
不过,虽然精准推荐不是监听所导致,但并不代表这种方式没有问题。“APP不需要监听就能够用更低廉或者更快捷的技术手段,来达到甚至超过监听的效果,那么一旦被滥用,可能给我们带来各种各样的风险隐患。”
这里的隐患分几个层面,最初级的层面就是广告会更为精准,用户转化率会更高。往更高一层来看,生成出来的用户画像、用户标签如果被犯罪分子获得,就很有可能提升诈骗的成功率;数据中的敏感信息,比如短信、通话记录、精确定位等,如果泄露,可能直接危害用户的财产,甚至人身安全。
在实际情况中,除了APP所谓的“偷听”,还有一种情况也比较普遍,就是在某个APP搜索浏览的东西可能会出现在另外一个APP上,这又是怎么回事?
对此宋宇昊分析称,这涉及到两个方面,如果说是同一个企业不同的APP,它们之间会共享用户数据以及用户画像,属于企业内部的资源整合。另一个方面,完全不同阵营的APP也可能会出现这种情况,这是因为不同阵营、不同企业都处在巨大的互联网广告的产业链当中,不同平台和不同公司之间都有数据共享、数据交易,包括广告插件等不同形式的合作,所以就会出现跨APP的精准广告推荐。
那么,从技术上而言,手机APP是否真的可以做到监听用户呢?宋宇昊认为,这个问题主要涉及到两个阶段,第一是监听,第二是对监听数据的分析和处理。
如果APP厂商想要监听你,这个从技术上来讲太容易实现了,没有任何技术壁垒。
APP只要打开手机的麦克风,就可以直接上传音频,也可以采取更隐蔽的方式,先把语音识别转换成文本,再上传到云端服务器。关键是上传的数据怎么样去解读和分析。如果用人工去分析,那成本肯定非常高,不可能大范围地去实施。如果用计算机来自动处理,按照目前AI的发展水平,想要理解或者概括人类这种自然语言的对话,不能说完全做不到,但肯定是做不好。
肯定会出现大量的错误数据,比如聊天当中说了奶茶,其实讲的是喜欢刘若英,这就和精准推送的目标事与愿违,效果差,成本高,不适合用在精准推荐的场景中。
一些高价值的目标,比如商业领域的关键人物,可能确实需要担心监听问题,但对普通用户来说,为了广告推荐,用监听的方式肯定是舍近求远,是一个赔本买卖,企业不会愿意做。
聊啥来啥、精准推荐的情况能否完全遏止?用户又该如何保护好个人信息?这在技术上不可能完全杜绝,但可以在技术上设置一些限制,尽可能减少个人信息的暴露。
用户可以根据APP用途,关掉它没有必要获得的权限。此外,手机厂商近年都进一步加强了隐私保护,开发了“禁止APP跟踪”,即不让APP获取手机唯一的识别码,这也可以比较有效地减少跨APP精准推荐的现象。
从APP开发者的角度来看,每个APP需要申请哪些权限,在APP开发过程中有明确的标签可以设置。如果说APP开发者真的想在这方面做到合法合规,技术上完全可以实现。
此外,现在很多常见的免费的互联网服务,并不是真的免费,而是用户提供自己的个人信息来作为其使用网络服务的代价。网络服务商再拿着用户的个人信息以其它方式来获取商业利益,诉求就是尽可能利用用户数据获取更大的利益,并没有动机去追求平衡。
这时候也需要法律法规的监管和约束,保护用户的权益,让用户能够自主地去决定到底提供多少个人信息给厂商,让个人信息换取服务的交易变得更加公平,而不是无条件把个人信息作为厂商的摇钱树,能够做到双方对等公平的交易。
不过,在实际生活中,很多用户为了便利,让渡了自己的隐私权,也可能不会耐心去看APP的隐私政策。宋宇昊表示,以前使用互联网服务,授权给APP的数据会到哪里去,用户根本不知道,也没有办法撤回,完全无法控制。但这个月刚实施的《个人信息保护法》就对此有了明确的规定,用户在个人信息、个人数据方面获得了更大的自主权。以前如果用户不同意授予某些权限,程序就拒绝提供服务,而《个人信息保护法》中明确规定用户可以拒绝提供个人信息,APP不能以此为理由拒绝提供服务。
用户要开始学会使用说不的权利。
两条基本的安全建议
* 从正规的渠道下载APP,如果APP下载渠道都有问题,那么保护个人信息就无从谈起;
* 尽量使用自己信任的Wi-Fi网络或使用移动数据网络,不要使用不可信的公共Wi-Fi,防止个人信息被恶意截获。
