“外卖 App 到底有没有在偷听?”
3 月 18 日,我们发布的《隔屏有耳,记者耗时 3 个月测试,美团饿了么是否在“偷听”?》引发热议。更多人提到,除了外卖 App,电商类、资讯类、音乐类等 App 都曾出现疑似“偷听”现象,其中,生态圈模式最为完整的阿里系被吐槽最多。
但也有网友提出质疑,认为在线“偷听”的数据量过大,App 和手机都无法承受如此巨大的计算量,“巧合”很可能是基于现在互联网公司强大的大数据计算和推荐。
来自云计算、语音识别、白帽子等多个渠道的专业人士向 IT 时报记者证实,通过授权的麦克风“监听”,并不需要太高的技术门槛,甚至在无网络的情况下都可以实现语音输入,也无需实时上传,只要触发某个关键词后,再提取文本并发送云端即可。
澎湃新闻的一篇报道中甚至提到,有技术团队仅用了不到 5 个小时,便在技术层面实现了 App 锁屏时在后台仍可以“监听”用户讲话内容。
疑问一:数据大成本高,吃力不讨好?
专家答:不存在大数据量
3 月 21 日,澎湃新闻在《团队自编程序证实手机能偷听,安全专家:未发现“偷听”铁证》一文中展示了网络尖刀创始人曲子龙和他的人工智能团队进行的一场测试,仅用了不到 5 个小时,通过程序员编写示例代码,模拟打造一款手机软件,安装在一部安卓系统手机中,再设置为允许该模拟软件使用手机录音权限,然后将手机屏幕锁屏。
结果,该款模拟手机软件成功获取了曲子龙团队的讲话内容,并传输给后台服务器转化成文字信息。
简单来说,就是曲子龙团队从技术层面实现了 App 锁屏时在后台仍可以“监听”用户讲话内容。
也有网友质疑,语音数据量巨大,能耗高,“偷听”用户的成本太大,这降低了 App“偷听”用户的可能性。对此,曲子龙在视频中表示,可以把需要触发的词做个库留在 App 上,用户讲话内容一旦触发特定的词,便会唤醒这个应用开始监听及分析,以此降低能耗。
国内知名白帽子公司 KEEN GeekPwn 实验室宋宇昊认为,APP 完全可以将麦克风听到的语音在上传之前先转换成文字,这已经是很成熟的技术。然后通过在文本里提取关键词发送云端,在云端分析文本特征,并和用户身份关联,给你精准画像,在大数据时代,这些技术都是相当成熟的。实际上,通过 App 语音输入的方式,在本地将语音转换成文字,上传的只是几个标签,完全不存在大数据量的问题。
“将一个人一天讲的话处理成文本,也只有几页纸。如果采用关键词唤醒,数据量还会大大降低。将语音处理成文本的技术并不高级,现在很多输入法都能做到。”贵阳大数据交易所执行总裁王叁寿也持同样看法。
不过,宋宇昊也强调,尽管技术上是可以做到的,但从目前观察来看,无法对 App 是否“偷听”做出结论。
未来技术的发展将进一步降低“偷听”的成本。
事实上,早在 20 世纪 90 年代,用于离线语音输入的 PC 客户端软件就已经出现。宋宇昊指出,随着近些年人工智能的发展,这一技术已经非常成熟,可以不依赖网络在手机中流畅地输入,甚至,一些语音输入的 App 可以在手机离线无网络的情况下实现语音输入。
“1 分钟的音频,只有 100ms(毫秒)的延迟。”科大讯飞的技术专家说道。按现在的网速和机器性能,以上的操作可以认为是实时完成的。
同时,随着边缘计算越来越成熟,“偷听”的成本还将大大降低。
一位大数据技术专家向 IT 时报记者阐释,边缘计算可以解决传输成本、存储成本及云端搜索等问题,但技术难点在于离线计算的准确率。
这并非凭空猜测。据上述专家介绍,在车险行业,车险服务商已经推出基于驾驶行为的保险,通过内置摄像头的行车记录仪和边缘计算+面部图像识别技术,系统能够捕捉驾驶员打哈欠、闭眼、打电话、抽烟等异常动作,这些数据都将用来做车险的风控模型,比如保险人的保费测算,而数据源是车内摄像头拍下的视频,通过边缘计算,可以大大降低数据上传量。
近两年,AI 手机概念渐成主流,随着手机的算力越来越强,计算都边缘化了,不需要云端计算的过多参与,那么,“偷听”这种技术成本就越来越低了,而且这个未来并不遥远,“在现在的终端成本上再增加 1000 元左右,就能支持边缘计算。”一位技术专家对 IT 时报记者展望。
疑问二:没开权限,如何“偷听”?
专家答:数据共享普遍存在
“在同一生态里,底层数据库都是共享的。”王叁寿说道。
3 月 15 日,恩惠(化名)与同事们正在讨论共享电单车电瓶回收的事情,10 分钟后,她打开了闲鱼,却突然看到了满屏的电池、电瓶、逆变器以及二手电瓶车转让信息,此前,她从未在闲鱼或淘宝上搜索过相关商品。恩惠怀疑闲鱼在“偷听”自己,可打开设置一看,闲鱼、淘宝的麦克风都是关闭状态,但阿里系 App 中的高德地图麦克风是开启状态。
为了进一步测试是否巧合,恩惠和同事们开始讨论 AirPods,过了一会,刷新后的闲鱼首页变了,二手 AirPods 开始出现在推荐位。“细思极恐”的恩惠关掉了高德地图等所有阿里系 App 的麦克风权限。
上海市软件评测中心的工程师从技术上向 IT 时报记者解读了数据如何共享,一是通过爬虫跨网站追踪用户信息,二是 App 之间采用同一个 SDK 开发,或双方开放数据接口发送数据包,实现共享。
也就是说,可能存在的情况是,A虽然没有获得用户的麦克风或者读图权限,但是完全可以通过有权限的B获得的信息,实现数据共享。这一点,从这些 App 的隐私协议中可见端倪。
IT 时报记者在查看了近 20 款主流 App 的个人隐私协议后发现,超过 95% 以上的 App 都会将自有用户个人信息共享给第三方或合作伙伴。比如,淘宝网隐私权政策中提到,“为便于我们基于淘宝平台账户向您提供产品和服务,推荐您可能感兴趣的信息,识别会员账号异常,保护淘宝网关联公司或其他用户或公众的人身财产安全免遭侵害,您的个人信息可能会与我们的关联公司和/或其指定的服务提供商共享。”
“同时,我们在使用阿里系其他 App 时,淘宝网也会从关联公司接收、汇总、分析用户的个人信息或交易信息。”
在 IT 时报的另一篇报道,《到底是谁出卖了你的隐私?315 晚会没曝光大厂,我们敢!》一文中记者指出,互联网巨头们不仅在自己的生态圈里共享数据,还会向生态圈外的公司分享用户画像,只要用一个手机设备号(IMEI 码),就可以在广告联盟间追踪用户的标签,用以精准投放广告等。
除了数据共享、用户画像服务外,还有很多公司打着大数据的幌子进行数据交易。据 IT 时报记者了解,一幅包含公积金、微信余额、淘宝购物记录、通话记录等数据画成的用户画像被“贷款超市”以 50 元的价格售卖,美其名曰“风控”。另一头,大数据公司又从广告主那拿到了广告费,注册一个用户,广告主给 10 元,一次点击给 0.8-1 元,千次展示给 15 元。
疑问三:说方言能防“偷听”?
专家答:人工智能可识别 20 多种方言
有用户质疑,当下人工智能还很“傻”,智能音箱等硬件常常无法和人自然互动,手机上的 App 真可以听懂我说话吗?
3 月 18 日,阮女士与同事在聊天中提起菠萝与凤梨的区别,随后无意打开百度 App,就在首页看见了“菠萝和凤梨的区别”的推送。
“打开百度就是想找找答案,可没想到还没搜索,App 就自动推送了答案,而此前也从未搜索过任何关于菠萝和凤梨的关键词。”据阮女士回忆,在与同事讨论时,手机并未打开手机百度 App,在手机的隐私权限中也并未给百度 App 开放语音权限,到底百度为何如此“聪明”,她并不知道原因。
陈女士也有类似遭遇。一天在与长辈一起吃饭时,听长辈们聊起开幼儿园话题,当天晚上,陈女士打开百度 App,便看到了关于“开办私人幼儿园”的内容。陈女士告诉 IT 时报记者,当时长辈们聊天的时候,她并没有参与,只是在刷微博和淘宝。
目前听懂人类说话,人工智能要经历语音识别和语义分析两个阶段,在语音识别阶段,国内相关公司已经做得相当精准,也就是所谓的将语音转化为汉字,准确率超过 97%,拿科大讯飞来说,目前支持中、英、日、韩、俄等约 10 种语言的语音识别,讯飞输入法支持 23 种中国方言识别。
技术难度在语义分析阶段,需要系统根据用户数据进行智能分析,并进行精准的推荐,但国内几大人工智能公司,目前技术进步也非常快。
多位行业人士认为,就当前的技术水平而言,让人工智能听懂,提取关键词并打标签,也就是完成语音识别的难度并不大,然后在云端完成语义分析,这已经是成熟的技术。
企业回应
百度:没有能力监听电话
阿里:截至发稿,并无回应
对于这些用户提出的质疑,百度回应 IT 时报记者称,不论苹果系统还是安卓系统,从保密用户隐私角度出发,绝对不可能为 App 开放或者设计这样的 API 接口,百度的手机应用没有能力、也从来不会申请所谓的“通话监听”这一权限。
然而,尽管“通话监听”这个权限没有被申请,但对于麦克风权限的开启,无论安卓还是苹果,百度都可以申请用户授权。不过,百度对此解释,只有用户主动开启语音唤醒功能,才会开启麦克风,也就是说,喊小度小度,调起搜索才能开启麦克风使用权限,而且当百度 App 切到后台后,麦克风权限便会关掉。
截至 20 日晚八点记者发稿,阿里尚未回应是否存在利用生态系统内某个 App 的麦克风权限获取关键词,为用户精准推送的情况。此前,饿了么曾在本报第一篇文章中回应,不存在“偷听”,饿了么既没有做类似的产品设置,也不具备相关技术条件,饿了么严格保护用户隐私,任何必要的信息采集都会在取得用户事先同意的前提下进行,在合法合规的范围内使用。
记者手记
请你不要比“我妈还懂我”
从外卖软件到互联网生态系统,到底这些 App 有没有“偷听”用户,是个“罗生门”。
尽管从技术层面来看,利用现已成熟的技术就能简单地从用户的语音里抓取关键词,并进行精准推送,这事并不难,但究竟 App 是否在偷听,我们依然无法下论断。
如今,互联网公司大多将上传的数据进行加密,如果想解密,不仅成本、技术门槛高,其中也存在一定法律风险,因此很难抓到“现行”。
但通过几个月的持续观察、大量的用户统计、场景复现测试,以及大数据共享的广告联盟追踪、App 隐私协议探究,我们想要说明的是,无论是“偷听”、“偷看”还是使用所谓的“大数据画像”,都已经在触碰用户隐私保护的底线,这也是为什么第一篇文章引发全网激烈讨论的原因。
最近几天,因为关掉不少权限,记者发现,不少 App 似乎没那么“懂我”了,我们不知道原因是什么,但这总是一个令人欣喜的现象。
因为,比我妈还懂我,意味着,作为个体,我已经失去自由。
本文来自微信公众号:IT 时报(ID:vittimes),作者:李丹琦、孙妍,编辑:挨踢妹,图片:东方 IC、网络。
原创文章,作者:kepupublish,如若转载,请注明出处:https://blog.ytso.com/124502.html