“我的命,我自己操盘”,这是《窃听风云2》中的经典台词,但现实生活中,我们可能连自己手机的麦克风都操盘不了。
从测试情况来看,在随后数分钟到数小时的时间里,出现相关推荐的概率高达60%-70%。这个结果,有些惊人。
对此,饿了么和美团回应:不存在“偷听”!
3月14日晚,记者更新了最新iOS版美团外卖、饿了么,它们都不再索取麦克风权限,不过安卓版里的录音权限依然存在。
网友遭遇
饿了么在“偷听”我吗?
2018年11月中旬,上海的孙女士在和同事闲聊时提到想喝CoCo奶茶,在打开饿了么App时,在推荐商家首位看见了CoCo奶茶。让孙女士疑惑的是,自己之前从未在饿了么买过CoCo奶茶,在她手机后台,同时打开了淘宝、微信、知乎、微博等多个App,“此前也没有使用任何手机App搜索过CoCo奶茶的相关信息。”
无独有偶,北京一位网友燃玉(化名)在2018年11月14日晚上8点左右,跟朋友说想吃鳗鱼饭,1分钟后打开支付宝上的饿了么应用,推荐位顶部恰巧显示着一家鳗鱼饭的外卖店,此时距离他上次下单鳗鱼饭相隔23天。
为了再次验证这一现象是否纯属巧合,次日中午,燃玉自行对着手机进行了一轮测试。在没有打开应用的情况下,他大声说想吃披萨,随后才打开了支付宝里的饿了么应用,在推荐位首页中出现了一家披萨店,“这家店的披萨我曾经点过,但也应该是半个月前。”
记者实测
孙女士和燃玉到底是杞人忧天还是确有其事?从2018年11月到2019年3月,《IT时报》记者用了3个多月的时间,通过模拟用户使用场景,对安卓手机、苹果手机、苹果平板电脑上的饿了么和美团外卖进行了多轮测试。
第一次测试
饿了么准确度80%
这是巧合吗?关掉屏幕后,两位记者继续聊着日本料理,6分钟后再次打开饿了么,这家神奇的“日式料理店”又出现了,只是这次位置下降到了第七位。再次关掉,两分钟后再次打开,同样的事情发生了,这家店又消失了,而其他推荐商家基本保持没变。
紧接着,记者又以港式料理、茶餐厅为主题开始聊天。同样的现象再次出现,10分钟后,一家“××广东肠粉”和一家知名港式连锁店出现在首屏推荐位,两分钟后,这两家店又“神秘消失”了。
在大概1个多小时的时间里,记者进行了多次测试,饿了么出现同类现象的概率大概在80%左右,准确度非常高,其中一家被精准提到的门店,虽然在第一天没有出现,却在第二天出现在“品质优选”频道。美团外卖则基本没出现类似情况。
测试中记者也发现,饿了么和美团外卖并没有被苹果手机授权打开麦克风,但同一体系内的天猫、微信的麦克风都在开启状态。
第二天,记者将天猫、微信的麦克风权限都取消,再次进行测试,相关情况没有出现。
多轮测试后
饿了么下降 美团上升
为了获得更准确的测试结果,在接下来的3个月中,记者在不同场景、不同时间段进行了数十次测试,并将测试设备扩展到iPhone、安卓手机和iPad。
以3月9日11:57开启的一轮测试为例,在以“我想点一个凉皮”为关键词重复多次之后,一家名为“凉皮先生”的店铺出现在了苹果手机美团外卖App首页推荐商家的第20位,但同样在刷新之后,这家“凉皮先生”外卖店消失不见了。记者当即拨打这家凉皮先生店铺的电话,对方表示,当天的确在美团外卖上开启了店铺推广,但并没有刻意刷新曝光率。
此前,记者曾以“今夜烧烤小龙虾”“黄焖鸡米饭”“塔哈尔新疆菜”和“元宝饺子”作为关键词,分别在2018年12月20日、12月29日、12月30日以及2019年1月3日对苹果和安卓版的美团外卖App进行了相同测试,以上四次测试中均出现了与关键词一致的结果。
综合所有测试结果,精准推荐和同类推荐出现的概率超过70%。但不同的是,第一次测试同类情况比较多见的饿了么,在今年1月1日以后,此类现象基本消失。但原本情况并不明显的美团外卖,态势却有上升之势。
饿了么、美团回应
不存在“偷听”
到底这种推荐店铺的出现,是什么原因呢?
饿了么相关人士表示,所谓“监听用户日常对话并做信息分析”,是一种无端猜测,饿了么既没有做类似的产品设置,也不具备相关技术条件,饿了么严格保护用户隐私,任何必要的信息采集都会在取得用户事先同意的前提下进行,在合法合规的范围内使用。
美团人士则回应称,有关“根据麦克风收录的语音关键词为点外卖的用户做推荐”的行为并不存在,美团外卖只会在获得用户语音使用授权,且用户主动发起美团外卖App内的语音输入行为时,才会使用麦克风。此外,美团外卖仅会在用户表达了明确需求信息、进行主动查询后,才会进行相关推荐输出。
专家测试
没使用时有数据上传,无法确定是什么信息
那么,到底是巧合,还是确实这些外卖App在使用麦克风“偷听”用户?
3月13日,《IT时报》记者来到上海软件测评中心对两款App进行数据包的抓取测试。
在数据抓取过程中,由于饿了么App使用了开发者设定的证书绑定技术,导致非开发人员无法使用Charles等抓包工具抓取饿了么App的数据包。但从美团外卖App的抓包结果来看,在测试的一段时间内,抓包工具中抓取到了近400个与美团外卖相关且大小不一的数据包。这其中也包含在安静的环境中美团外卖App产生的少量数据包。
由于分辨数据包需要花费大量的时间,所以短期内无法获得对数据包进行分析后的结果。
美团对此表示,美团外卖App在退出切换过程中,有可能在后台同步App性能数据(如系统稳定性数据、图片加载成功率等),以便完善提升用户体验,同步内容不涉及任何用户个人信息。
是否“偷听”
业内观点不一
此外,在获得了麦克风权限的前提下,一款App可以通过另一款App获得信息吗?国内知名白帽子公司KEEN GeekPwn实验室宋宇昊认为,目前这一技术已经完全成熟,且有一条共享资源的传输链路。
“如果某App具有麦克风的访问权限,理论上,此款聊天App可以监听周围环境的声音。在此过程中,聊天App可以将语音输入的代码嵌在其App内部,用于将人类的语言转换成文字,并上传到服务端。服务端将这些文本进行处理后,与对应的用户进行绑定。如果说两个App之间有业务的合作,那么他们将可以共享这项资源,”宋宇昊表示,“按现在的网速和机器性能,这波操作可以认为是实时完成的。”
然而,尽管这一情形在技术上可以实现,但宋宇昊认为,这并不代表相关App已经进行了这样的操作。
另一家数据公司负责人则表示,外卖App 推送相关的店铺有两方面可能,一是推荐系统的冷启动机制,即虽然用户没有在App上搜索或者点击过,但推荐系统会根据用户所在的区域、年龄层次、时间段等大范围数据来做推荐,但也不排除确实有些App会利用麦克风权限对订餐、店铺等语音信息进行获取。
指掌易科技相关技术负责人觉得出现类似情况纯属巧合,“在国内监管日趋严格、对个人信息安全保护重视程度日益加强的背景下,无论从业务本身还是法律范畴来看,监听用户对话并不是一个明智的选择,这么做只会给企业经营带来非常大的风险,得不偿失。所以基本可以排除某个App自动监听的可能。”
记者手记
没有答案的“巧合”
经过3个多月的测试,对于外卖App是否在“偷听”用户说话,答案依然是未知的。
如果说是“巧合”,那么巧合的次数未免太多了些。为了避免出现因搜索、输入等非语音方式造成数据被读取,后期测试的App都是重新安装过的,甚至对某些设备做了刷机处理,而选择测试的,也都是此前从来没有点过,也没有在手机中留下痕迹的菜系。因此,很难解释为什么会在测试中突然出现相关店铺,而更难解释的是,再度刷新后,其他店铺依然没变,只有这家店铺消失了。
但如果不是“巧合”,从现有的技术测试和业内人士的回应来看,似乎通过麦克风“偷听”是一件吃力不讨好的事,企业不太可能做。
可是,有“被偷听”疑问的并非只有孙女士和燃玉,涉及的App也不只是外卖。
在社交网站上搜索“App偷听”的关键字,类似案例不胜枚举。比如,知乎网友“米可”和朋友聊到单位的富贵竹花瓶,当天晚些时候便在淘宝上看到了富贵竹相关的店铺推广;知乎网友“不想起床”在睡觉之前给宝宝讲古埃及文明,隔天便在淘宝上收到了金字塔摆件和木乃伊摆件的推送;还有人表示跟家人对话说要去超市买牙线,晚上打开京东,在推荐里就看到了牙线的推荐等等……身边的同事也有过刚和家人聊了银行贷款,接着就在今日头条上看到网贷平台和银行消费贷广告的情况。
然而,无论觉得如何不对劲,这些巧合都没有答案。
但另一个巧合是,今年1月开始,陆陆续续有大量App更改了自己的隐私政策,随着国内《网络安全法》收紧,欧盟《通用数据保护条例》(简称GDPR)给谷歌等互联网巨头开出罚单,对于用户的个人信息获取、App权限的索取,中国的互联网公司们明显变得谨慎许多。也正是今年1月之后,饿了么上再没有同类现象在测试中被发现。
来源:IT时报(ID:vittimes)
编辑:赵红玲
1、头条易读遵循行业规范,任何转载的稿件都会明确标注作者和来源;
2、本文内容来自“大河报”微信公众号,文章版权归大河报公众号所有。