雙十一購物,你被精準推送了嗎?聊聊手機APP“偷聽”背后的故事
在一年一度的雙十一這天,鮮有人能管住手不打開各種橙色軟件、紅色軟件、黃色軟件、藍色軟件。打開的軟件是同一個,不過看到的界面并不一定。為脫發煩惱的可能看到了防脫洗發水;想要換手機的可能看到了最新款手機;而熬夜付尾款太累的,可能看到了香噴噴的炸雞奶茶……
聊什么推什么,多次看到這些的你,是不是有很多疑慮,甚至還感到恐懼——我們難以擺脫依賴的手機,竟然成了“竊聽器”?APP真的在“偷聽”我們聊天?我們又該如何保護好個人信息?
在搜狐科技《AI十二談》第5期直播中,GeekPwn實驗室安全專家宋宇昊結合實際應用場景,分析了手機APP“偷聽”背后的故事 。本文為直播實錄(精華版),供讀者參考。
“偷聽”從技術上來講很容易實現,但精準推薦的背后并不是手機APP在監聽語音,而是主要由大數據和人工智能所驅動的精準推薦廣告的能力導致。
為什么我們經常講到這個就會想到偷聽或者監聽?很大程度上是因為這種說法比較形象,容易想到諜戰這樣一些影視作品,比較有沖擊力。
事實上,每個用戶在使用電腦、手機等智能設備的過程當中會留下大量的使用記錄,包括搜索、購買、瀏覽、播放、定位等。APP通過采集這些數據,傳到云端后臺,再去提取特征,就可以刻畫出很精準的用戶畫像,比如用戶年齡段、生活習慣,甚至可能通過地理位置和網絡IP地址,可以分析出用戶跟哪些人在一起工作生活,做出更精準的推薦。
不過,雖然精準推薦不是監聽所導致,但并不代表這種方式沒有問題。“APP不需要監聽就能夠用更低廉或者更快捷的技術手段,來達到甚至超過監聽的效果,那么一旦被濫用,可能給我們帶來各種各樣的風險隱患。”
這里的隱患分幾個層面,最初級的層面就是廣告會更為精準,用戶轉化率會更高。往更高一層來看,生成出來的用戶畫像、用戶標簽如果被犯罪分子獲得,就很有可能提升詐騙的成功率;數據中的敏感信息,比如短信、通話記錄、精確定位等,如果泄露,可能直接危害用戶的財產,甚至人身安全。
在實際情況中,除了APP所謂的“偷聽”,還有一種情況也比較普遍,就是在某個APP搜索瀏覽的東西可能會出現在另外一個APP上,這又是怎么回事?
對此宋宇昊分析稱,這涉及到兩個方面,如果說是同一個企業不同的APP,它們之間會共享用戶數據以及用戶畫像,屬于企業內部的資源整合。另一個方面,完全不同陣營的APP也可能會出現這種情況,這是因為不同陣營、不同企業都處在巨大的互聯網廣告的產業鏈當中,不同平臺和不同公司之間都有數據共享、數據交易,包括廣告插件等不同形式的合作,所以就會出現跨APP的精準廣告推薦。
那么,從技術上而言,手機APP是否真的可以做到監聽用戶呢?宋宇昊認為,這個問題主要涉及到兩個階段,第一是監聽,第二是對監聽數據的分析和處理。
如果APP廠商想要監聽你,這個從技術上來講太容易實現了,沒有任何技術壁壘。
APP只要打開手機的麥克風,就可以直接上傳音頻,也可以采取更隱蔽的方式,先把語音識別轉換成文本,再上傳到云端服務器。關鍵是上傳的數據怎么樣去解讀和分析。如果用人工去分析,那成本肯定非常高,不可能大范圍地去實施。如果用計算機來自動處理,按照目前AI的發展水平,想要理解或者概括人類這種自然語言的對話,不能說完全做不到,但肯定是做不好。
肯定會出現大量的錯誤數據,比如聊天當中說了奶茶,其實講的是喜歡劉若英,這就和精準推送的目標事與愿違,效果差,成本高,不適合用在精準推薦的場景中。
一些高價值的目標,比如商業領域的關鍵人物,可能確實需要擔心監聽問題,但對普通用戶來說,為了廣告推薦,用監聽的方式肯定是舍近求遠,是一個賠本買賣,企業不會愿意做。
聊啥來啥、精準推薦的情況能否完全遏止?用戶又該如何保護好個人信息?這在技術上不可能完全杜絕,但可以在技術上設置一些限制,盡可能減少個人信息的暴露。
用戶可以根據APP用途,關掉它沒有必要獲得的權限。此外,手機廠商近年都進一步加強了隱私保護,開發了“禁止APP跟蹤”,即不讓APP獲取手機唯一的識別碼,這也可以比較有效地減少跨APP精準推薦的現象。
從APP開發者的角度來看,每個APP需要申請哪些權限,在APP開發過程中有明確的標簽可以設置。如果說APP開發者真的想在這方面做到合法合規,技術上完全可以實現。
此外,現在很多常見的免費的互聯網服務,并不是真的免費,而是用戶提供自己的個人信息來作為其使用網絡服務的代價。網絡服務商再拿著用戶的個人信息以其它方式來獲取商業利益,訴求就是盡可能利用用戶數據獲取更大的利益,并沒有動機去追求平衡。
這時候也需要法律法規的監管和約束,保護用戶的權益,讓用戶能夠自主地去決定到底提供多少個人信息給廠商,讓個人信息換取服務的交易變得更加公平,而不是無條件把個人信息作為廠商的搖錢樹,能夠做到雙方對等公平的交易。
不過,在實際生活中,很多用戶為了便利,讓渡了自己的隱私權,也可能不會耐心去看APP的隱私政策。宋宇昊表示,以前使用互聯網服務,授權給APP的數據會到哪里去,用戶根本不知道,也沒有辦法撤回,完全無法控制。但這個月剛實施的《個人信息保護法》就對此有了明確的規定,用戶在個人信息、個人數據方面獲得了更大的自主權。以前如果用戶不同意授予某些權限,程序就拒絕提供服務,而《個人信息保護法》中明確規定用戶可以拒絕提供個人信息,APP不能以此為理由拒絕提供服務。
用戶要開始學會使用說不的權利。
兩條基本的安全建議
* 從正規的渠道下載APP,如果APP下載渠道都有問題,那么保護個人信息就無從談起;
* 盡量使用自己信任的Wi-Fi網絡或使用移動數據網絡,不要使用不可信的公共Wi-Fi,防止個人信息被惡意截獲。
