团队自编程序证实手机能偷听,安全专家:未发现“偷听”铁证
是巧合?还是手机软件真的在“偷听”?
3月20日,澎湃新闻(www.thepaper.cn)邀请网络尖刀创始人曲子龙和他的人工智能团队做了一个测试。
曲子龙团队仅用了不到5个小时,通过程序员编写示例代码,模拟打造一款手机软件,安装在一部安卓系统手机中,再设置为允许该模拟软件使用手机录音权限,然后将手机屏幕锁屏。
结果,该款模拟手机软件成功获取到了曲子龙团队的讲话内容,并传输给后台服务器转化成文字信息。
曲子龙告诉澎湃新闻,经过测试,技术层面实现了app锁屏时在后台仍可以“监听”用户讲话内容。他认为,如果将一款app从手机后台彻底关闭,仍可以实现“监听”。
对此,曲子龙建议,尽量不要给非社交相关软件摄像头、相册、通讯录、语音、短信记录等相关的敏感权限,这样可以最大限度保护隐私。
但国内某知名反病毒软件公司一位安全技术专家认为,“偷听”从理论上可以,实际上有没有做,还需要一系列完整证据链;国内app有没有类似的“偷听”情况,目前还没有安全研究人员发现铁证。
人工智能团队自构建一款app实现“偷听”
美团、饿了么深陷“偷听门”之后,又有网友纷纷举证称淘宝、菜鸟裹裹等手机app也存在“偷听”。
今年3月3日,在国内知名问答社区知乎平台上,就有网友发帖称其可能也遭遇了“偷听”。其中一位网友晒出了图片称,在使用手机淘宝时,发现主页推荐了曾搜索过的化妆品之外,还推荐了玉米。该网友怀疑是手机app监听到女友喊妈妈“你明天去买点玉米”的对话。
无独有偶,2018年12月28日,也有网友发帖称,其女友妈妈患脑溢血,聊天时曾谈到“雾化”,随后在使用“菜鸟裹裹”查看物流时,在“猜你喜欢”一栏中看到了医疗雾化带的推荐。
知乎网友分享疑似被“监听”经历3月20日,网络尖刀创始人曲子龙告诉澎湃新闻,从技术的角度实现后端监听,确实是可以做到。
20日下午,网络尖刀人工智能团队用不到5个小时时间,自己构建了一个app,并将此app装载在一款安卓手机上。
经测试,在手机锁屏后,只要app进程没有结束,仍然可以实现在用户无感知情况下窃听并录制用户身边音频内容,并将数据通过NLP处理方式传到服务器,用于做大数据分析。
NLP技术即自然语言处理技术,一种让电脑了解人类语言的技术。当前这种技术已比较成熟,即使用户日常使用的主流方言也不会对语音识别有太多影响。曲子龙解释道。
曲子龙介绍,目前大部分手机app都在获取语音权限,主流机型基本都能支持,所以实现监听“门槛并不高”。
同时,针对app后台“监听”可能产生的高能耗问题,曲子龙认为,“其实很容易解决,如果这个需求程序让我来写,我会把需要触发的词做个库留在app上,用户讲话内容触发特定的词,便会唤醒这个应用开始监听及分析,这样就可以降低能耗”。
那么,如果将一款app从手机后台彻底关闭,还能否实现“偷听”?
曲子龙认为,即便彻底从手机后台关闭了某个app,“偷听”的可能性还是存在。
他打了个比方,“如果手机后台关掉了A应用,但B应用仍在后台运行,A应用注册了一个服务对外暴露出去,B应用根据它的服务名可以把A唤醒,这样就不怕服务因人工杀掉(编注:从手机后台彻底关闭)导致无法监听。”
另外,曲子龙还指出,部分安卓手机在出厂时就设置有默认app获取权限白名单,“他们的app服务很多不会被杀掉,白名单的app想要持续监听就更容易了”。
专家:目前国内安全研究人员还未发现“偷听”铁证
为进一步了解手机app是否会“偷听”用户,澎湃新闻又向多位计算机、网络安全领域专家进行求证。不过,他们出于一些担心,均要求匿名。
对于曲子龙的这个测试,国内某知名反病毒软件公司一位安全技术专家向澎湃新闻表示,整个测试没有问题,单纯的语音监听技术10多年前的手机木马就可以实现,现在多了语音识别技术。
该反病毒安全技术专家认为,当前的问题不在于去验证手机app能不能实现监听,而是能否确定美团、饿了么、淘宝等手机app存在“偷听”。前述测试,显然是无法证实的。
该专家还表示,新闻报道中,通过聊天测试并联想到外卖app窃听用户语音,“这种证明方法完全不科学”,存在偶合性;科学的方法应该是做软件行为分析和数据流量分析,而不是做用户行为统计。
即,要证明app在“监听”,应该对软件行为做代码级的逆向分析,从软件的底层去发现这个软件是不是有监听语音的行为;再从网络连接分析、解密,相关数据是否传输到相关软件的服务器。
“监听从理论上可以,实际上有没有做,这需要一系列的证据链都完整。”该专家介绍,国内app有没有类似的“偷听”情况,目前还没有安全研究人员发现铁证。
如果app并未在监听,这种高契合的用户推荐又是怎么做到的?该专家认为,这些数据可能和电商的广告联盟系统打通,当用户端被匹配了人群的各种标签,广告推送就跟标签关联上。另外,“部分输入法也可能参与了推送环节,当然也仅仅是怀疑。但要证明因果关系,难度很大”。
另一位安卓手机研发工程师则认为,“偷听”在技术上可行,但“操作可能很小”,因为监控语音技术成本太大,如果这么做,手机其他功能使用会有障碍。
他告诉澎湃新闻,一旦某一款app开始监听,势必占用音频锁不释放。比如,当用安卓手机听音乐时,同时打开一个app,音乐可能中断,很有可能就是这个app占用了一下音频锁;或者回到微信却发现语音发不出去,app监听就露馅了。
一位不愿具名的通讯IT专家告诉澎湃新闻,从理论上来说,装载在使用其他软件系统的手机上的app也可能实现“偷听”。但该专家同时表示,装载ios系统的手机由于app来源需要被苹果公司审核,实现后台无感知监听的门槛相对较高。
国内某品牌手机公司一位安全部技术人员告诉澎湃新闻,用户要培养保护自己安全隐私的意识,“安全问题和安全技术也是在不断对抗过程中,逐渐培养起来的”。