老话题了是吧
再次拿出来说原因是我看到第一财经写了篇文章正经地呼吁 app 别监听用户了。这话题也不是一天两天了,而且一些大厂也早出来辟谣过没技术。我个人也是觉得目前在 iOS 以及安卓端是无法实现全天候以及 app 未启动时的监听。第一财经这篇文章也颇有阴谋论的味道
坛子里有没有大厂的移动端小伙伴出来说说?
1
lzp729 2020-08-21 04:04:07 +08:00
法无禁止介可为
|
2
xiaopenyou 2020-08-21 06:30:23 +08:00
端前几天有篇“业内者说”,有一段落,也提到麦克风窥探隐私这事儿(付费文章):
https://theinitium.com/article/20200817-mainland-why-i-leave-short-video-company/ 这问题我也好奇 |
3
alexkkaa 2020-08-21 07:23:41 +08:00 via Android
行不行取决于法律 反正很多国家会被罚到裤衩都没有
|
4
312ybj 2020-08-21 07:41:55 +08:00 via Android 1
昨天水群,一哥们在某家拍照 app 软件公司工作。产品想让他做个功能:上传用户拍的照片,然后分析用户喜欢怎么拍照。这个明显就偷用户隐私。但是这不是头一次!之前他们公司就干过,因为上传到了黄图,所以被请喝茶了,现在他们每天手动鉴黄。
|
5
Visitor233 2020-08-21 08:57:05 +08:00 3
我就给 UC 允许了一下摄像头,结果半夜打开 UC 看片,突然给我把摄像头升起来一秒又降回去,瞬间无爱。
|
6
xuanbg 2020-08-21 08:59:50 +08:00
上传音频视频不要流量的吗?手机正常使用上行流量应该很低的,自己看看套餐的流量就知道有没有了。
|
7
subpo 2020-08-21 09:10:56 +08:00
这里问一下安卓 app 开发者
大部分 app 都需要读取照片的权限,是不是我同意了之后,相机里所有的照片都可以被上传? 还是只有我选中的照片,可以被 app 读取到啊 |
8
sadfQED2 2020-08-21 09:34:45 +08:00 via Android 1
@subpo 在安卓 8 还是安卓 10 有文件沙箱以后,好像只有用户手动选择的文件才能读,但是低版本安卓确实是全部能读
|
9
leeglefun 2020-08-21 09:38:22 +08:00
手机是升降式摄像头,遇到过自己偷偷调用前置摄像的 app 。
|
11
okaku 2020-08-21 09:40:53 +08:00 via iPhone
只要允许了读取文件权限 都能读 不隔离相册
|
13
IGJacklove 2020-08-21 09:43:42 +08:00
权限都给了的情况下,技术实现没什么难度.
|
14
kera0a 2020-08-21 09:43:42 +08:00 via iPhone
后台监听录音是不可能,
一直监听是很耗电的,类似 siri 是靠专用芯片才实现的,普通 app 也没这个权限 除非就偶尔录一下,录到啥算啥。但这错误率太高,有其他很多更好的方式扒你信息来给你推广告没必要这么费力不讨好 另外各种系统都有权限调用记录,例如 iOS14 会增加摄像头和麦克风的使用指示灯。 你是选择相信自媒体没证据的空口白话,还是相信系统的权限调用记录呢? |
15
ddup 2020-08-21 09:45:11 +08:00 2
怀疑会不会的,可以更自信一点,去看看我这篇抓住小米路由器偷偷向远程服务器发送设备信息的文章吧:
https://www.v2ex.com/t/527378 |
16
xishijt 2020-08-21 09:45:59 +08:00
@subpo 只要给了权限,所有文件都能读,QQ 还会自己偷偷读,偷偷删文件(亲身经历),不知道有没有上传.之前京东金融还爆出来偷偷上传图片,但是我没用过这个版本
|
17
wtks1 2020-08-21 09:46:19 +08:00 via Android
这个话题说了这么久,很多猜测都有过,但就是没有实锤,导致这个话题快成月经贴了
|
18
barrysn 2020-08-21 09:46:43 +08:00 1
@Visitor233 它是为了看看你 怎么还不睡[doge]
|
21
KaynW 2020-08-21 09:50:31 +08:00
歪个楼, 昨天 Mac 突然爆卡, Dock 上的所有应用点一下得等 1 分钟才能打开, 后来发现是代理的一个节点失效, 关于 Apple 的流量都出不去, 切换节点后就好了... 我打开个应用也要联网吗?
|
22
hello365 2020-08-21 09:57:33 +08:00
肯定变着法监听用户呀,那些要权限得还算好一点,那些权限绕过各种漏洞利用的才可怕。
|
23
laoyur 2020-08-21 10:05:18 +08:00
@KaynW hosts 里 ocsp.apple.com 改成 127
|
24
ddup 2020-08-21 10:12:46 +08:00
@InkStone #20 额,小米路由器可不止发送设备信息这么简单,云端控制向网页里插入 js,技术上可以远程控制在特定网站上插入广告、监听用户上网记录。
我想表达的意思是,国内的企业没有法律的约束,消费者维权困难,可以无所不用其极。 |
25
zsdroid 2020-08-21 10:16:34 +08:00
@Visitor233 #4 如果我没记错的话,android 好像通过 Camera.open()来检测有没有摄像头权限。所以摄像头会被打开一下。
|
26
PopRain 2020-08-21 10:23:16 +08:00
个人干类似的事情肯定要被判刑,公司干这种事情一般就是罚酒。。。。加重公司犯罪的刑罚,并且很多事情就应该定义为“面向监狱编程“,别助暴为虐还装无辜
|
27
HangoX 2020-08-21 10:25:34 +08:00
大厂是没有的,因为底线还是在的,而且耗电,测试过不去,但是垃圾小公司有没有做我就不知道了。
但是 ios 是铁定不行的,android 高版本的机器你能在后台活多久都是个迷,太过耗电直接被干掉了。 |
28
NOspy 2020-08-21 11:14:59 +08:00
@Visitor233 让我康康是谁在看片,给你推飞机杯
|
29
jimmyRice 2020-08-21 11:18:42 +08:00
常驻后台啥都可以吧
|
30
musi 2020-08-21 11:23:19 +08:00
实现全天候以及 app 未启动时的监听,那么多 app,是怎么做到共享摄像头和麦克风的?还有,一直开着摄像头和麦克风这得多费电?手机待机时间骤降吧,一天好几充?这样的手机你会用?
|
31
InkStone 2020-08-21 11:29:05 +08:00
@ddup 这不是法律和底线问题,而是一个纯技术问题。再怎么降低自己底线,无所不用其极,也不可能实现这种技术上就不可行的事情。
|
33
mxT52CRuqR6o5 2020-08-21 11:32:33 +08:00 via Android
我看到的例子都是可以通过窃听以外的更加容易的方案也能实现的
|
34
xingyuc 2020-08-21 11:33:16 +08:00 2
这里这么多程序,就不要说能否了吧,真的昧良心讨论的话,都出几套方案了。
楼主问大厂,大厂员工就是做了也不敢说。 费电?国产应用哪个不费电,微信,qq 放后台都能百分之几了吧。 还有就是你干净不代表用的 SDK 也干净。安卓机用几天,根目录一堆垃圾。 |
36
2013a 2020-08-21 11:48:10 +08:00
昨天看到的是 很多 app 会访问你的剪切板
|
38
imdong 2020-08-21 12:00:16 +08:00
可以,绝大多数的监听是有能力,但很多时候没必要,
上传通讯录,短信,剪贴板之类的太容易了,应该有很多都可以做(是否在做仁者见仁)。 但是音视频上传,绝大多数情况下,没这个必要(双方成本都太高)。 |
39
ltq918 2020-08-21 12:14:28 +08:00 1
音频可以本地转文字再上传分析,有些 APP 后台呆着就费电,如果不用麦克风不知道能不能通过加速度传感器捕捉震动获取音频
|
40
learningman 2020-08-21 12:27:04 +08:00
@ltq918 本地音频转文字质量太低,加速度传感器精度太低
|
41
neqhqrim 2020-08-21 13:20:07 +08:00 3
相信国内大厂有底线的人,你脑袋里到底装的是啥?
|
42
96412hj 2020-08-21 13:22:28 +08:00
@Visitor233 #5 真的假的,不可能吧
|
44
vanxy 2020-08-21 13:37:28 +08:00
监听就是录音+音频识别嘛,当然能。 但是正常 APP 都不会干。因为以下问题解决不了
- 电量和流量的消耗问题 - 系统权限( iOS 录音左上角会红、Android 各厂家有录音权限提示)如何不被用户发现 - 代码在客户端,有被抓包、逆向而暴露的风险 (暴露了有巨大的公关与法律风险) - 监听到的关键词,怎么剔除脏数据?(比如周围人的声音,电视机的声音) - 监听的数据是否真的有用(对比正常手段获取的用户画像) |
45
arare 2020-08-21 13:47:41 +08:00
监听和监控如果没从系统底层来做的话,很难绕过系统的
app 通过读剪贴板来获取数据,这就是肯定有的 |
46
xingheng 2020-08-21 13:49:20 +08:00
@laoyur ocsp.apple.com 不是什么监听的,是苹果的证书校验和更新的服务,没必要 ban 。
|
47
Danswerme 2020-08-21 13:57:21 +08:00 via Android
@KaynW 这是 macos 的传统艺能了,从 10.14 开始就是这样,没网的情况下开机点不开任何 app,点了就是疯狂跳动但是打不开,连上网络的一瞬间 app 全都打开了
|
49
morethansean 2020-08-21 14:01:18 +08:00
@xingyuc #34
预设立场,大厂员工即便说了没做,你怕也是不会信的吧。这个事情网上最火的时候,前公司内部还专门发了帖子,成立专门的独立调查小组来审查有没有什么部门秘密地私自做了些类似的事情,根本没有的事。你说昧良心讨论都出几套方案了,反正我看到内部客户端的同学,基本上就是在喷这些人脑洞大的,只能期待大神能实现一个版本出来了 😂 |
50
ifxo 2020-08-21 14:03:32 +08:00
只要给了麦克风权限,就可以监听你,不然那些后台程序都是吃干饭的啊,说没技术你就信?语音直接在手机上转文字,然后发送回服务器进行筛选
|
51
2kCS5c0b0ITXE5k2 2020-08-21 14:21:45 +08:00
监听的产品明显不如用浏览过什么东西查过什么东西 打开过什么 app 来的成本低.
|
53
2kCS5c0b0ITXE5k2 2020-08-21 14:27:35 +08:00
谷歌能直接用你搜索内容来推断你这个的人的画像. 百度也可以. 淘宝也可以 腾讯也可以. 字节也可以. 监听什么的成本太高了 还要识别 多麻烦.
|
54
tyzrj766 2020-08-21 14:35:52 +08:00
监听语音和拍摄成本太高不值当,主要是还是靠用户的数据和一些 SDK 做分析
|
56
win7pro 2020-08-21 14:57:09 +08:00
我 mate10,安卓百度地图 app 可以使用过程中“小度小度”语音唤醒,肯定是监听,但那时候手机顶部也会出现麦克风被占用提示。是不是一个 app 占用了麦克风,其他 app 就用不了?
|
57
wtks1 2020-08-21 16:26:58 +08:00 via Android
@pkoukk 反编译是一条路子,能抓到包也算是一条路子,但现在这两个都没人做到....或许还有别的办法,但我不是搞这个的,实在想不出来还有什么别的办法
|
58
tachikomachann 2020-08-21 16:34:44 +08:00 via Android
那些坚定的认为可以的,倒是给个技术细节,做个实现嘛 doge 。
疑罪从无,没确凿证据抓不到,就是没有。 |
59
xingyuc 2020-08-21 16:36:02 +08:00
@morethansean 我记得前段时间在哪里看到一篇文章,大概意思是如何通过开源 npm 包获取用户的密码,如果哪位大佬看见艾特我一下,谢谢🙏
|
60
xiangbohua 2020-08-21 16:36:19 +08:00
@312ybj 我在群里面也看到了
|
61
winterx 2020-08-21 16:36:20 +08:00
手机 APP 已经有很多种办法获取你的大数据了
不如想想你家里的小 A 同学、T 猫精灵、小 D 智能,7*24 小时不断电、WiFi 永远在线,细思恐极 |
62
nicevar 2020-08-21 16:40:03 +08:00
没啥可聊的,基本上是一些外行猜来猜去,盲人摸象,意思就是我没有证据,但是我觉得一定有监听
不是说一定不可能,但是对于绝大多数 app 来说,目前在安卓和 iOS 上都做不到,能做的要么是极其少数的人发现系统漏洞或者后门,否则都是瞎扯蛋,出来发月经贴,那些非要觉得能做到你倒是扔个 demo 出来让大家学习一下。 |
63
lovecy 2020-08-21 16:45:44 +08:00
看了那篇文章,我觉得问题的关键点其实还是用户觉得自己被监听了。因为“中午吃到一盘鹿肉,席间曾称赞其美味,十几分钟后微信朋友圈就出现鹿肉直供”,这种事情,首先可能是其他渠道获取了你的信息,比如你搜索过鹿肉。再者人会选择性忽略一些我们日常收到的讯息,你如果没吃过鹿肉,可能你收到鹿肉广告扫一眼就过去了记都记不住。等你吃过鹿肉过后你看到这个广告就产生了味觉回忆就感觉很深刻。
|
67
baobao1270 2020-08-21 16:52:31 +08:00
|
68
nekobest 2020-08-21 16:55:32 +08:00
比起担心 APP 窃听,还不如担心下说“微信不云端保存聊天记录”的鹅厂掌握了多少秘密吧......能把所有权限都堵死,难道你和别人说话能加密么?
|
69
swulling 2020-08-21 16:57:33 +08:00 via iPhone
输入法 定位 剪贴板 图库 本地文件 通讯录 通讯记录 自动截屏 密码截取, 这些都是毫无疑问很低成本的去上传,技术上没有任何问题。
摄像头 录音,成本有一些,但是没有太大技术难度,只是有一些成本,大范围应用我觉得不太现实。更多还是定点针对。 另外不要小看输入法的威力,输入法加入广告联盟已经是一个默认的事实了。 |
70
binux 2020-08-21 17:01:24 +08:00 via Android
@baobao1270 #67 你当然能证明它存在啊!反编译或者抓包,甚至你自己实现一个也行啊。
|
71
Cloutain 2020-08-21 17:01:35 +08:00
大厂有底线,我 TM 想笑
|
72
hafuhafu 2020-08-21 17:03:05 +08:00
难道相关技术大神都和厂商同流合污了吗,不然怎么从几年前到现在没有一个人锤他们一下。
像当初小米路由器 js 劫持,光在 v2 就有人发现并且锤了,这种“窃听”不是更严重,目前尚未发现相关实锤。 |
73
bubuyu 2020-08-21 17:04:00 +08:00
还需要监听吗?今天几个同事群里面问谁有京东 Plus 帮忙买个小天才手表,我微信中点开链接,然后跳转到京东看了一下,后来又在京东的搜索栏搜了一下小天才电话手表,没过 5 分钟就收到学而思网校广告的短信了。
|
74
Cielsky 2020-08-21 17:08:13 +08:00 via Android
隐私泄露输入法最严重吧,其他的比如说上传照片,国产机都有流量管理,能大致看出个大概。后台默认白名单就常用的几个。
至于像有的说 QQ 删照片,这比如 emui 可以检测到第三方软件删你的照片的。 另外就是部分软件接入的广告有毒,会收集信息,这种开发者自己也不一定知道。 所以系统开发者和软件开发者对抗,这种类型的监听太容易被发现了,得不偿失。 输入法就不一样了,每天用的最多,分析你还是比较容易的。 |
75
fffang 2020-08-21 17:13:56 +08:00
xswl,专业的客户端开发都说这事不可能去做。
某些人还要言之凿凿的说有,好像真的反编译出代码来了似的。hhhhhhh 。 |
76
hafuhafu 2020-08-21 17:23:01 +08:00
我感觉用录音功能去监听用户的日常然后进行“个性化广告推荐”,是一种很“淳朴”的行为。
举个可能不是很合适的例子,就像那些做 QQ 机器人框架的,不是去逆向协议,而是通过图像识别和模拟点击来达成目的... 从另一个方面来说,用户在使用软件的时候,已经有意或无意中提供了大量准确、能明确表达用户目的的数据(搜索关键词、分享链接、点赞收藏等行为)给软件厂商,为啥还用这种淳朴、低效率、甚至不准确的方式来进行“个性化广告推荐”。 在知乎相关回答下看到很多把“在 A 搜索了物品 XXX,结果在 B 也出现了物品 XXX 的广告”这种行为归纳到“偷听”里面,这肯定不是窃听应该没有疑问吧。 现在的未解之谜应该是“我和朋友现实中聊天聊到了某物,结果也出现了广告”。不知道是不是双方中有人去搜索了,或者是凑巧,亦或时其他原因。 前阵子我也遇到过一次很诡异的广告推荐,大概是某天周末,我用 qq 音乐听歌,刚好想起以前的少女时代,然后就去搜了一首“gee”,并分享到以前的大学舍友群里并发了几句骚话,三天后,我的抖音广告,出现一个一个莫名其妙的游戏广告,名字是“AI 少女”,BGM 是“gee”...以往的广告都是爽文小说或是最强蜗牛以及近期电商平台搜索关键词的广告,这是我第一次遇到。 |
77
kera0a 2020-08-21 17:38:40 +08:00 via iPhone
@baobao1270 语音助手使用专门的低功耗芯片才能做到实时监听特定语音指令。
这反而证明了一般 app 想实时监听是很难的,一般的 app 是没有这种权限的使用这个芯片的,要监听必须让 cpu 大核一直运行。 我也不清楚为啥程序员占大多数的论坛也会有这么多不切实际的想法。不拿出一点证据,问就是一定有,再问就是我有一次说了啥给我推了对应的广告,这也能当证据? 以上是对实时后台监听的反驳(不是滥用麦克风权限) 希望持肯定意见的人用证据狠狠的蹂躏我。 不要我觉得,我上次,我认为,怎么会没有 说这些废话了 |
79
InkStone 2020-08-21 17:47:04 +08:00
@pkoukk 并不高。之前百度报 wormhole 的时候很多人都贴了反编译出来的源代码,我自己也看过。
如果你没想着破解他们接口的话,光是看几眼代码,那只需要脱壳(其实很多大厂出的 APP 根本不加壳,性能问题)外加人肉克服一下代码混淆就行。 甚至于你都不用看他们代码,在手机上运行一下看下有没有在后台调麦克风,一清二楚。就算是天顶星给大厂人手送了一个 0Day,也绕不过你能完全控制的系统。 |
80
azh7138m 2020-08-21 17:49:49 +08:00
端侧语音识别很难做,模型体积也很难降下来
看了下国内的技术氛围,我觉得难以实现 服务器端语音识别成本过高了,账单下来后,估计会被老板打死 |
81
cyspy 2020-08-21 18:03:25 +08:00
可以,但没必要。成本太高,没什么收益
|
82
yuu95 2020-08-21 18:12:54 +08:00
说个我前段时间的事儿吧。涉及到两个 App:PDD 、招商银行。
事由是我在招商银行抽中了个券,然后在商城买了包抽纸,等过了一天商城发货,奇怪的来了,PDD 给我 push 了一条消息,就是招商商城那边发货的消息(物流承运商、运单号都一致),第二天、第三天早上都会 push 物流中转消息。 这有没有可能遍历每个人的收货手机号,查询你的包裹信息呢? 1. 从未开通过快递助手 2. 招商商城收货手机号 和 PDD 收货手机号是同一个 |
83
hatori 2020-08-21 19:33:05 +08:00 via Android
那么能不能换个思路呢,就像在其他地方搜过的东西会在京东淘宝上出现不是因为京东淘宝监听,而是通过广告联盟一样
语音助手可以随时唤醒,能不能由语音助手收集信息,经由“广告联盟”共享用户数据,电商获取然后定向投放推广?这样某东某宝就没有必要用自己客户端监听了 瞎想的,不太严谨,勿喷 |
84
musi 2020-08-21 20:47:45 +08:00
@baobao1270 语音助手的芯片只能实现特定词的唤醒,否则你想一下你在手机流量状态下你一天流量的消耗,如果单纯全天候监听语音的话,一天的录音文件要多大?本地识别?你看看你家天猫精灵在周围嘈杂的时候的唤醒情况,别说嘈杂了,就是不嘈杂的情况的识别率都不会太准确,还有方言识别?
|
85
EminemW 2020-08-21 20:58:31 +08:00
我就知道有些软件会定时上传用户手机界面的截图,安卓 ios 都可以
|
86
anguiao 2020-08-21 21:15:27 +08:00
你的日常操作已经把你的喜好暴露的很清楚了,不需要再通过录音这种行为来监控你。
|
88
philipjf 2020-08-21 22:01:58 +08:00 via iPhone 1
技术上完全可行,即便对 iOS 来说,系统从来不是障碍,App Store 审核才是,这也是为什么 App Store 一直在挨骂。
成本上也完全现实,微信语音,语音转文本,百度输入法,搜狗输入法,要是成本大于收益,这些 app 早黄了。 耗电量也是个伪命题,即便是安卓,打开电量使用情况一看就知道,屏幕才是耗电大头,要是厂商真在乎耗电量,就不会拼命往用户手机上塞全家桶,个个强制驻留后台,分分钟几百个互相唤醒。 |
89
StopTheWorld 2020-08-21 22:07:18 +08:00
并不会分析全部录音,而是你说出关键词会触发 app 的后台操作。比如你和朋友聊天说出“键盘”,那 app 就认为你有买键盘的意向。
|
90
ctro15547 2020-08-21 22:14:56 +08:00
一般手机 APP 不可能。实现成本高, 发现几率也很大。不过智能音箱就有录音、摄像头的权限,可上传、保存、分析。而且这种获取,流量、电量都不是问题,正常用户也不可能发现。不过一般不会开启,但确实是见过有的。
|
91
SlipStupig 2020-08-21 22:34:09 +08:00
实在想不通搞这个录音的 ROI 有多少?有行为数据有历史设备指纹、各种 cookie 共享,平台数据共享,为什么还需要录音?
做了有什么意义呢? |
92
daozhihun 2020-08-21 22:51:08 +08:00
用 ios 听歌,打开某些国产大型 app 后偶尔会遇到音乐暂停的情况,至于为什么暂停,自己体会一下。
对这些厂商的节操我只能表示呵呵 |
93
edisonwong 2020-08-22 02:01:21 +08:00 via iPhone
我觉得这行为不太值得:1.耗电 2.得过滤环境 /杂音 3.多个人说话你怎么知道哪个是目标声音 4.有效信息太少,难道开着一整天录? 5.如果断断续续录,上下文含义怎么解 6.被发现 /反编译等如何? 7.系统权限问题
有那个功夫还不如收集用户剪贴板 /搜索记录来得高效 |
94
draguo 2020-08-22 11:37:18 +08:00
之前我也不信 app 会监听,但是那天我去超市买罐头,只讨论了一下是买桃的还是橘子的,然后回家打开抖音就给我推送罐头的广告了,我没在任何 app 上搜索过,并且结账用的是购物卡,除了监听我实在想不到还有什么方法了
|
95
fox0001 2020-08-22 11:52:54 +08:00 via Android
我怀疑…但是我没有证据
|
96
sholin 2020-08-22 15:50:10 +08:00
真的会坚挺,我前几天在微信上跟一个朋友要一个天猫入住申请 ppt,结果昨天就有那些第三方中介打给我问我需不需要天猫入住。用的是苹果手机。
|
97
pokon548 2020-08-22 17:21:00 +08:00
我倒觉得,更可能你用的输入法有后门。你想想,追踪你输入的内容是不是远比语音监听来的更划算和精准?
顺带,人的记忆是不可靠的。也许你只记住了语音交流的瞬间,却忘记你的手指头在键盘上飞舞又撤销的姿势。 |
98
HankAviator 2020-08-22 23:04:08 +08:00 via Android
用户主动发起的语音就可以训练模型啊,没必要冒风险做未授权后台监听。
@pokon548 有数据产生的地方,就有数据泄露的危险。 国内能拿到海量数据的人员仍然有相当一部分没有隐私的意识。可能数据是经用户同意收集的,但泄露在人的环节上是可能的。 |
99
xingyuc 2020-08-24 09:48:48 +08:00
问一下,小米手机是不是能看到应用每个权限的使用次数和使用时间?
|
100
lvsecoto 2020-08-24 09:59:14 +08:00
有一天我跟妹子出去,我用手机给她看 Cellular-Z 查卫星的功能,然后妹子说了句"咦?欧洲的卫星,伽利略定位系统",然后过几天 UC 浏览器上面就推送伽利略定位的文章...小米 k20 Pro
|