vivo新机意外成“流氓App”检测器,谁来保护我们的隐私?
明明没有自拍,摄像头居然会自己升起来看你一眼,然后默默缩回去。
一款手机,因为检测到两款App疑似存在窃取用户隐私行为,而被网友封为了“神器”,这不是段子。
在vivo NEX用户发现QQ浏览器偷偷调用摄像头事件后,昨日(7月1日),又有用户发现,使用百度输入法打开手机自带的浏览器进行搜索时,在无任何操作的情况下,手机顶部显示“百度输入法正在录音”,并且会提示用户是否要禁止它。
此前,vivo NEX已经进行了系统升级。百度输入法产品团队对此回应称,此现象是语音麦克风预热优化造成的,目的是为了加快语音启动速度。
接连“中招”
vivo NEX成检测流氓App“神器”
vivo NEX是vivo于6月12日发布的最新旗舰机型,主打零界全面屏和升降式前置摄像头的设计亮点,即当用户需要自拍时,隐藏至机身的前置摄像头会自动弹出。
但正是这一设计,使用户有了意外“收获”:明明没有自拍,摄像头居然会自己升起来看你一眼,然后默默缩回去。
有用户称,在vivo NEX手机设备上通过手机QQ浏览器打开某些网页时,手机摄像头会出现一个“升降”动作。并有媒体实测,vivo NEX确实存在自动探出摄像头的现象。
QQ浏览器产品团队给出了回应,称造成这一现象的原因是由于调用API(应用程序编程接口)所导致的,摄像头并没有做任何拍摄或采集行为,手机QQ浏览器也不会采集用户任何隐私。
随后,vivo NEX进行了系统升级,升级为1.15.4版本后,提醒优化了第三方应用调用摄像头的判断逻辑,增强了在出现潜在不明调用行为时,向用户弹出窗口,进行二次确认的授权。
同时,还优化了对第三方应用调用麦克风的判断逻辑,增加了在出现潜在不明调用行为时,通过闪烁状态栏,向用户发出提醒,进行二次确认的授权。
不过,7月1日有部分vivo NEX用户反馈称,使用百度输入法打开手机自带的浏览器进行搜索时,在无任何操作的情况下,手机顶部显示“百度输入法正在录音”,并且会提示用户是否要禁止它。
业内分析:部分App设计对用户不友好
昨日晚间,百度输入法产品团队发表声明称,初步判断造成该现象的原因为,在场景化语音以及语音面板使用场景中,输入法做了语音麦克风预热的优化,目的是为了加快语音启动速度,解决之前用户反馈的语音识别丢字问题。
这个优化策略会在场景化语音条以及语音面板展示的时候起效,这个优化会使vivo系统认为我们已经开始录音,但其实百度输入法并未进行录音处理。
百度输入法称,由于输入法应用的特殊性,即使输入法面板展示在前台,vivo系统仍然会判定输入法为“后台应用”,造成提示“百度输入法在后台录音”。
感到不适的用户可手动关闭场景输入功能以消除红条提示。在其他品牌和型号的手机上没有出现同类提示。后续我们将对场景语音功能的体验进行进一步的优化。
▲百度输入法产品团队回应
一位不愿具名的web测试开发工程师对中新经纬表示,官方给的解释都说的过去,预热在技术上算是比较常规的一种优化手段。
“预热是指不管用户是否使用,程序先拿到权限,先拿到需要的参数再说,等用户用到的时候,程序可以更快地启动。”上述工程师表示,QQ浏览器在用户点击扫码需求之前就调用API拿到参数有两个好处,一是预热,二是统一处理所有需要的硬件接口,当然这点对程序员友好,而非对用户友好。
移动安全专家彭根认为,摄像头弹出,可以确定是调用了摄像头的权限,但有否进行了拍照和摄像,目前还不能确定。有一些App在打开时会尝试调用摄像头进行测试,也就是申请一下权限。在彭根看来,在不该使用摄像头时调用摄像头的权限进行测试,目前一些App开发商的设计很不严谨。
窃取、滥用隐私现象普遍
数据为诈骗提供温床
摄像头与麦克风偷窥隐私的问题,可追溯到PC时代。在我们还依赖笔记本来完成社交活动的时候,不法分子只需购买某些“远程控制”的软件,就可以遥控对方电脑系统,实现强行偷拍。不少媒体就曾报道女大学生被远程偷拍,并被对方监控、勒索的案件。
面对埋在身边的这颗“定时炸弹”,不少人心存疑虑,但也只能用遮挡摄像头的办法来保护自己的隐私。而现在,多款笔记本已自带遮挡或翻转摄像头的设计。
而到了智能手机时代,几乎所有生活所需信息都可从各类App中获取,人们对于手机产生了空前依赖。然而鲜为人知的是,许多App从被下载那一刻就“盯上”了用户的隐私信息。
由腾讯社会研究中心联合DCCI互联网数据中心发布的2017年度《网络隐私安全及网络欺诈行为研究分析报告》(以下简称《报告》)显示,2017年下半年,超过80%的手机App会获取用户隐私权限。其中,安卓应用这一数字高达98.5%,苹果应用的这一数字为81.9%。
▲2017年安卓应用获取用户手机隐私权限比例 来源:《报告》
▲2017年苹果应用获取用户手机隐私权限比例 来源:《报告》
《报告》显示,2017下半年,安卓应用中网络游戏、常用工具成为获取用户手机隐私权限占比最高的两类应用,分别达到获取隐私权限应用总数的24.4%和18.8%。
也许你会对这一幕颇为熟悉:首次打开App时,对方会要求开启各类权限,有些甚至与App的使用内容丝毫无关。在用户对软件的权限请求默许的情况下,用户的通话记录、短信、通讯录、位置信息、设备信息等都可以被软件后台记录,并发送到服务器上。
“虽然知道这样做会泄露隐私,但为正常使用软件,不得不‘被同意’‘被授权’。”一位用户道出了大众的心声。
同意了这些权限要求,就能继续好好使用App了吗?非也。许多App在未注册用户之前,使用会遇到诸多不便:看视频只能用最低清晰度、无法使用评论、留言等社交功能、无法下载文件或使用服务等,以“游客”身份使用APP可以说是寸步难行。
因此,许多人选择用一分钟时间注册账户,从而享受便利。而在注册成功的同时,手机号码就已无条件地“出卖”了你的踪迹。
DCCI互联网数据中心创始人胡延平在接受中新经纬采访时表示,过去一年,网络诈骗案件发生的数量可以用“庞大”形容,其中,通过手机应用获取的数据给诈骗犯罪提供了土壤、温床,也为他们实施诈骗创造了条件。
胡延平认为,作为隐私信息产生的源头,用户需要加强安全防范意识,杜绝一切隐私数据被泄露的可能。具体可从以下五点着手:
一是下载软件选择正规渠道,如应用宝、安卓市场等;
二是谨慎填写个人隐私信息,防止信息被无谓的采集;
三是管理手机软件中的隐私权限,了解软件权限行为,关闭不必要的授权;四是防范公共WiFi,转账与支付时改用数据流量;
五是通过“恢复出厂设置-格式化-反复拷入大文件并删除”三步骤,彻底清理旧手机信息。