最近领潮儿爷在玩抖音的时候,
发现其的推荐“精准”到让人恐怖。
从来没有买过的东西或者搜索的东西,
仅仅因为在家里面说了几次,
便很快被推荐了相关内容。
手机软件真的能够监听你?
如何做到监听你?
而用户怎样避免被监听?
待领潮儿爷一一为你道来。
一、手机软件真的能够监听你?
最坦诚的说辞:
Facebook :
我们能做到,但我们可能永远不会用。
Facebook 有一项专利文件,这项技术是通过电视广播信号远程激活手机的麦克风,从而对用户的对话和周围环境音进行录音,然后将数据传回 Facebook 进行分析。
这项技术不需要获取 Facebook 上的录音功能权限,而是通过电视和广播中的高频声音信号来实现,这种高配声音人类听不到,但是手机的智能设备却能够识别。
比如这种信号可以命令手机录下周围的「环境声音」,将这些声音转化为「环境音频指纹」(ambient audio fingerprin)再发送给 Facebook 分析,以识别用户正在观看或收听的内容,从而更好地进行内容推荐和广告投放。
细思极恐,
这仿佛就是互联网时代的《1984》。
你们知道我们能做到。
我们承诺我们可能不会做,
你们不相信我们不会做,
我们也未必不会这么做。
Facebook 也不是第一家尝试应用这种技术的科技公司,《纽约时报》就曾报道,Google Play Store 内有超过 250 个游戏都会适配一种软件来监听用户在家中的电视观看习惯。
那么「用麦克风获取个人隐私」的传言都是真的吗?
一位叫 Mitchollow 的用户在视频中介绍了自己是如何证明「被 Google 窃听」的。
Mitchollow 先用一张 A4 纸展示了自己将要讨论的内容——狗玩具(Dog Toys)。
随后 Mitchollow 随机打开各种网页浏览,此时 Google 推荐的广告和狗玩具都没有任何关系。
接着 Mitchollow 关闭网页,对着麦克风谈论狗玩具的话题,表示希望给自己的宠物狗购买玩具,并故意提及某品牌。
实际上, Mitchollow 并没有养狗,这些内容都是他为了测试而编造的。
然而当 Mitchollow 再次打开刚刚浏览的网页时, Google 导购栏上都出现了狗玩具的广告,其中包括了刚刚 Mitchollow 故意提及的玩具品牌。
二、手机软件如何做到监听你?
方法1:加速器“窃听”扬声器特点:技术实现难度较高,但所窃取到的个人隐私数据全,包括个人身份、地址、密码、声音特点等都可能被全套窃取,且个人手机用户基本无法防范。
生活中难免有这样的场景:用户A正在使用智能手机公开播放一段微信语音,而用户B在使用智能手机拨打电话。
罪魁祸首:加速度传感器
这并不是危言耸听。
用户A和用户B在没有任何授权的情况下,他们各自的语音信息就可能被攻击者利用手机里的扬声器和加速器距离识别并还原成声音信号。
以上发现来源于浙江大学网络空间安全学院院长任奎团队。
近日,在网络与分布式系统安全会议(NDSS)上,浙江大学网络空间安全学院任奎团队、加拿大麦吉尔大学、多伦多大学学者团队展示了一项最新的研究成果。
成果表明,智能手机App可在用户不知情、无需系统授权的情况下,利用手机内置加速度传感器采集手机扬声器所发出声音的震动信号,实现对用户语音的窃听。
加速度传感器是当前智能手机中常见的一种能够测量加速度的传感器,通常由质量块、阻尼器、弹性元件、敏感元件和适调电路等部分组成。
Android和iOS开发者文档中都提供加速度传感器的调用方法
在日常手机应用中,加速度传感器通常被用户测速、记录步数等。
像这类记录步数的App都用到了,
加速度传感器。
非常重要的一点是,测量步数等与之相关的App实际上无需获得用户授权就可以获得智能手机的加速度信息。
因为此前业界普遍认为,手机加速度器无法像麦克风、摄像头、地理位置一样,轻易获得或推断敏感的个人信息,因此App调用手机加速度器读数或是获取相应权限几乎不会遇到任何阻力。
也正因为这样,
通过手机加速度器发起的攻击,
不仅隐蔽,
而且“合法”。
方法2:“浏览器指纹”乱点鸳鸯谱特点:技术实现难度低,主要窃取和共享在同一局域网内的家人、同事的使用习惯并进行配对和共享推荐,造成的危害相对较小。
我和同事聊过的话题,怎么会忽然出现在我的手机上?我和老公私房话聊起过商品,怎么会在App中弹出?出卖你的可能不全是手机麦克风,还有你的局域网。
从技术角度来讲,
其实现途径源于“依存性画像”。
科技公司通过大数据给每个人都构建有用户画像,
继而按照人们的习惯和喜好推送广告。
每当用户在互联网上留下痕迹,这一痕迹变成为用户的习惯或喜好,会被大数据记录在册,成为用户画像中的一个维度。
于是互联网上留下用户使用痕迹和浏览记录变成了用户的“浏览器指纹”。
围绕“指纹”体系,用户的手机MAC地址、网卡的序列号,甚至基于手机的其他硬件标识等信息便构成了动态的用户画像。
以电商平台的购物链接为例,甲给乙分享了一条购物链接,从乙的角度看是一个购物界面,但是在浏览器里看到的数据信息则是甲和乙两人的“浏览器指纹”,大数据会将甲乙二人定义为依存关系。
当出现了第三个人丙,在甲和丙互不认识但乙和丙认识的情况下,丙打开了乙浏览的购物链接,大数据画像会认为丙的设备也有了乙的浏览器指纹,根据大数据的依存关系,会将甲和丙的手机主人匹配成有相关性。
当甲通过了自己的网络打开了浏览器,留下了浏览器指纹,大数据会根据甲的喜好为乙和丙推送甲喜欢的信息。
这就解释了为何办公室和家庭等环境中,常常出现不同人获得的App推荐信息近似的原因。
另外,在构建用户画像的过程中,
麦克风权限也是其中的要素之一。
如果甲乙二人在同一网络/地址的状态下,通过面对面聊天讨论某个商品。一旦触发了App的敏感词,例如订餐、导航等,App后台会通过开启的麦克风权限对用户聊天内容进行监听。
即便没有点开麦克风权限的用户,也会因为两人的大数据依存关系在两人同时打开同一App或者浏览器时,出现聊天中提到的商品或信息。
三、抖音监听的质疑?
一打字就被监听?
TikTok读取剪贴板内容引争议
据国外网友爆料,
其在体验iOS 14的时候发现,
当他在使用 TikTok 时,
TikTok似乎一直在读取他的剪贴板信息,
频率高达每一个字节都会读取一次,
把这一现象发到了Twitter上,
引起了网友的热议。
很多iPhone用户和开发者都表示很愤怒,
并称TikTok的这一行为是“令人毛骨悚然的”,
“轻度恐怖的”和“极度阴暗的”。
TikTok回应:
造成这一现象的原因是TikTok具有识别重复性垃圾邮件的机制,
而这一机制触发了iOS 14的剪贴板读取警示,
官方已经向App Store提交了更新版本并下线了反垃圾邮件功能以消除混淆。
其实不仅是国外的网友需要解释,
国内的很多网友其实也同样需要解释。
例如在知乎的问答栏目里面,
就有对“抖音会监听吗?”的问题。
在其数十个回答中,
其答案都是:
会。
会的!
确定会!
百分百确定!
该问题目前并没有得到任何抖音官方的回答和解释。
相比较国外TikTok的回应,
抖音也欠国内网友的一个回应。
相比较国外网友对自己隐私的重视,
国外对用户隐私的保护,
以及对违规软件的封禁。
国内的网友和环境显然有着更大的包容。
领潮儿爷想借用莆田搜索李教主的话:
我想中国人可以更加开放,
对隐私问题没有那么敏感,
如果他们愿意用隐私交换便捷性,
很多情况下他们是愿意的,
那我们就可以用数据做一些事情。
当然避免被监听的方式是:
取消麦克风、位置等对这些软件的授权,
但玩嗨、玩上瘾的你,
真的能“牺牲”这些便利性嘛?
