安全专家:技术上可实现 App 监听,但用于广告推荐是赔本买卖

观点
2021
11/11
20:41
亚设网
分享

聊啥来啥、精准推荐,手机 App 到底有没有在“偷听”?在近日搜狐科技举办的《AI 十二谈》第五期直播中,国内知名白帽子公司 KEEN 公司联合创始人、GeekPwn 实验室安全专家宋宇昊认为,精准推荐的背后并不是语音监听,主要原因是大数据和人工智能所驱动的精准推荐广告的能力所致。

安全专家:技术上可实现 App 监听,但用于广告推荐是赔本买卖

“为什么我们经常讲到这个就会想到偷听或者监听?很大程度上是因为这种说法比较形象,容易想到谍战这样一些影视作品,比较有冲击力。”宋宇昊说。

他提到,每个用户在使用电脑、手机等智能设备的过程当中会留下大量的使用记录,包括搜索、购买、浏览、播放、定位等,App 通过采集这些数据,传到云端后台,再去提取特征,就可以刻画出很精准的用户画像,比如用户年龄段、生活习惯,甚至可能通过地理位置和网络 IP 地址,可以分析出用户跟哪些人在一起工作生活,做出更精准的推荐。

不过,宋宇昊强调,虽然精准推荐不是监听所导致,但并不代表这种方式没有问题。“App 不需要监听就能够用更低廉或者更快捷的技术手段,来达到甚至超过监听的效果,那么一旦被滥用,可能给我们带来各种各样的风险隐患。”

他进一步分析到,这里的隐患分几个层面,最初级的层面就是广告会更为精准,用户转化率会更高。往更高一层来看,生成出来的用户画像、用户标签如果被犯罪分子获得,就很有可能提升诈骗的成功率;数据中的敏感信息,比如短信、通话记录、精确定位等,如果泄露,可能直接危害用户的财产,甚至人身安全。

安全专家:技术上可实现 App 监听,但用于广告推荐是赔本买卖

在实际情况中,除了 App 所谓的“偷听”,还有一种情况也比较普遍,就是在某个 App 搜索浏览的东西可能会出现在另外一个 App 上,这又是怎么回事?对此宋宇昊分析称,这涉及到两个方面,如果说是同一个企业不同的 App,它们之间会共享用户数据以及用户画像,属于企业内部的资源整合。

另一个方面,完全不同阵营的 App 也可能会出现这种情况,这是因为不同阵营、不同企业都处在巨大的互联网广告的产业链当中,不同平台和不同公司之间都有数据共享、数据交易,包括广告插件等不同形式的合作,所以就会出现跨 App 的精准广告推荐。

那么,从技术上而言,手机 App 是否真的可以做到监听用户?宋宇昊认为,这个问题涉及到两个阶段,第一是监听,第二是对监听数据的分析和处理。

“如果 App 厂商想要监听你,这个从技术上来讲太容易实现了,没有任何技术壁垒。”宋宇昊表示,App 只要打开手机的麦克风,就可以直接上传音频,也可以采取更隐蔽的方式,先把语音识别转换成文本,再上传到云端服务器。

他进一步分析到,关键是上传的数据怎么样去解读和分析。如果用人工去分析,那成本肯定非常高,不可能大范围地去实施。如果用计算机来自动处理,按照目前 AI 的发展水平,想要理解或者概括人类这种自然语言的对话,不能说完全做不到,但肯定是做不好。

“肯定会出现大量的错误数据,比如聊天当中说了奶茶,其实讲的是喜欢刘若英,这就和精准推送的目标事与愿违,效果差,成本高,不适合用在精准推荐的场景中。”宋宇昊补充到,一些高价值的目标,比如商业领域的关键人物,可能确实需要担心监听问题,但对普通用户来说,为了广告推荐,用监听的方式肯定是舍近求远,是一个赔本买卖,企业不会愿意做。

聊啥来啥、精准推荐的情况能否完全遏止?用户又该如何保护好个人信息?宋宇昊认为,这在技术上不可能完全杜绝,但可以在技术上设置一些限制,尽可能减少个人信息的暴露。

他提到,用户可以根据 App 用途,关掉它没有必要获得的权限。此外,手机厂商近年都进一步加强了隐私保护,开发了“禁止 App 跟踪”,即不让 App 获取手机唯一的识别码,这也可以比较有效地减少跨 App 精准推荐的现象。

此外,从 App 开发者的角度来看,每个 App 需要申请哪些权限,在 App 开发过程中有明确的标签可以设置。如果说 App 开发者真的想在这方面做到合法合规,技术上完全可以实现。

宋宇昊还提到,现在很多常见的免费的互联网服务,并不是真的免费,而是用户提供自己的个人信息来作为其使用网络服务的代价。网络服务商再拿着用户的个人信息以其它方式来获取商业利益,诉求就是尽可能利用用户数据获取更大的利益,并没有动机去追求平衡。

“这时候也需要法律法规的监管和约束,保护用户的权益,让用户能够自主地去决定到底提供多少个人信息给厂商,让个人信息换取服务的交易变得更加公平,而不是无条件把个人信息作为厂商的摇钱树,能够做到双方对等公平的交易。”宋宇昊表示。

不过,在实际生活中,很多用户为了便利,让渡了自己的隐私权,也可能不会耐心去看 App 的隐私政策。宋宇昊表示,以前使用互联网服务,授权给 App 的数据会到哪里去,用户根本不知道,也没有办法撤回,完全无法控制。但这个月刚实施的《个人信息保护法》就对此有了明确的规定,用户在个人信息、个人数据方面获得了更大的自主权。

他举例到,以前如果用户不同意授予某些权限,程序就拒绝提供服务,而《个人信息保护法》中明确规定用户可以拒绝提供个人信息,App 不能以此为理由拒绝提供服务。“用户要开始学会使用说不的权利。”

宋宇昊还给出了两个最基本的安全建议,一是从正规的渠道下载 App,如果 App 下载渠道都有问题,那么保护个人信息就无从谈起。另外,尽量使用自己信任的 Wi-Fi 网络或使用移动数据网络,不要使用不可信的公共 Wi-Fi,防止个人信息被恶意截获。

THE END
免责声明:本文系转载,版权归原作者所有;旨在传递信息,不代表亚设网的观点和立场。

2.jpg

关于我们

微信扫一扫,加关注

Top