Vice 作者 Sam Nichols 上个月做了一次测试,5 天时间内,他故意在手机面前谈论“回到学校”和“便宜的衬衫”这样的字眼,随后就在 Facebook 上看到了衬衫和大学教育课程相关的广告。
这代表了一种集体担忧——去年 8 月,有人发现 Instagram 应用会在后台偷偷记录用户的日常交谈,捕捉语音并分析后,Instagram 的信息流会出现和此前谈话相关的广告推送,就好像它时刻竖起耳朵偷听用户对什么感兴趣。淘宝也受到类似的质疑,有人说会在商品推荐区看到自己曾经谈论过的东西,但并没有过搜索行为。
当然不会有公司会承认自己的应用是个监听器,用户也无法掌握直接证据,谁能证明有没有偷听?美国西北大学一个计算机科学家组成的研究团队决定用相对科学的方法认真研究一番。
过去 1 年时间,这个团队使用 10 部 Android 智能手机,测试了 1.7 万个热门应用。具体的办法是,手机中安装一个和目标应用交互的自动程序,研究者分析应用们产生的流量数据,监测它们是否会秘密激活麦克风偷听,以及有没有偷偷上传媒体文件到莫名之处。
1.7 万个应用中有超过 9000 个需要用户开启麦克风和摄像头权限。但最终结果有点让人出乎意料,他们没有发现任何一个应用会秘密启动麦克风,或者未经允许把音频文件上传,起码这 1.7 万个中没有。当然出于科学的严谨,研究团队没有给出“智能手机并不会偷听”的结论。
“我们没有发现任何迹象表明用户的对话会被秘密记录,”研究团队中的一员 David Choffnes 在接受 Gizmodo 采访时说,“人们没有意识到的是,在麦克风和摄像头之外还有不少追踪你日常行为的办法。”
他们意外地发现,一款名叫 GoPuff 的外卖应用竟然偷偷录屏,记录了用户点外卖下单填写地址点过程,并把视频文件传送给一个名叫 Appsee 的公司。整个过程在后台运行,无需用户认证。Appsee 是一家移动应用分析公司,在合作的应用中植入 SDK 用于数据分析。
这听起来比录音更可怕,录屏视频包含更多的敏感隐私,个人信息甚至密码都可能被泄露。GoPuff 并没有否认会偷数据,一名 GoPuff 的发言人对此回复说,他们在用户隐私协议中增加了相关的披露,并且已经从最新的应用版本中撤销了 Appsee 的 SDK。
这场实验的局限或者说漏洞也非常明显。手机中植入的自动化应用缺少真实用户的行为,比如创建账号、登入账号。整个实验也基于监测文件是否被上传,理论上一个应用如果真的想偷听用户讲了什么,完全可以偷偷录音并在本地完成分析,而不用真的上传录音。
更值得关注的是,应用服务商有没有必要偷听用户的谈话。相比于偷偷拍一张照片,或者截屏、记录用户行为,记录音频用于广告推送看起来效率并不是很高。
除非它有必要这么做。根据纽约时报的报道,名叫 Alphonso 的软件应用可以通过智能手机麦克风,来获取电视广告和电视节目的音频信号,然后将这一数据与用户去过的地方或看过的电影联系起来,以此优化电视广告的传播效果。后来这家公司回应说,他们的软件并不会专门录制用户的谈话,而是收听电视释放的音频信号来追踪用户观看行为,本质上和“偷听”并没有区别。