老话题了,大家再来聊聊 App 能否监听用户

2020-08-21 02:39:37 +08:00
 tomato1111

老话题了是吧

再次拿出来说原因是我看到第一财经写了篇文章正经地呼吁 app 别监听用户了。这话题也不是一天两天了,而且一些大厂也早出来辟谣过没技术。我个人也是觉得目前在 iOS 以及安卓端是无法实现全天候以及 app 未启动时的监听。第一财经这篇文章也颇有阴谋论的味道

坛子里有没有大厂的移动端小伙伴出来说说?

第一财经的文章地址: https://www.cnbeta.com/articles/tech/1017887.htm

9278 次点击
所在节点    程序员
104 条回复
winterx
2020-08-21 16:36:20 +08:00
手机 APP 已经有很多种办法获取你的大数据了
不如想想你家里的小 A 同学、T 猫精灵、小 D 智能,7*24 小时不断电、WiFi 永远在线,细思恐极
nicevar
2020-08-21 16:40:03 +08:00
没啥可聊的,基本上是一些外行猜来猜去,盲人摸象,意思就是我没有证据,但是我觉得一定有监听
不是说一定不可能,但是对于绝大多数 app 来说,目前在安卓和 iOS 上都做不到,能做的要么是极其少数的人发现系统漏洞或者后门,否则都是瞎扯蛋,出来发月经贴,那些非要觉得能做到你倒是扔个 demo 出来让大家学习一下。
lovecy
2020-08-21 16:45:44 +08:00
看了那篇文章,我觉得问题的关键点其实还是用户觉得自己被监听了。因为“中午吃到一盘鹿肉,席间曾称赞其美味,十几分钟后微信朋友圈就出现鹿肉直供”,这种事情,首先可能是其他渠道获取了你的信息,比如你搜索过鹿肉。再者人会选择性忽略一些我们日常收到的讯息,你如果没吃过鹿肉,可能你收到鹿肉广告扫一眼就过去了记都记不住。等你吃过鹿肉过后你看到这个广告就产生了味觉回忆就感觉很深刻。
lovecy
2020-08-21 16:47:03 +08:00
@312ybj 这种是不是用户也没办法禁止?毕竟你要用人家拍照 APP 肯定得给人图库权限
Danswerme
2020-08-21 16:51:42 +08:00
@laoyur 哈哈哈,真是不好意思了,下次会注意言语用词的。
swulling
2020-08-21 16:52:21 +08:00
@xuanbg 本地语音识别后就没多少流量了,也可以保存在本地等连上 wifi 再上传
baobao1270
2020-08-21 16:52:31 +08:00
@kera0a
@musi
@HangoX
今天看到一篇文章,说系统级别的监听可以在低耗电情况下完成,用的是语音助手的芯片,可惜后来被删了。当然,我也不确定这篇文章是否真实,只是分享一下这个观点。

我觉得这个问题和“我们要不要相信中医”、“外星人是否存在”是一样的,我们无法证明它是否存在(有效),也无法证明它不存在(无效)。因此只能依靠自己判断,并且为自己的判断负责。
nekobest
2020-08-21 16:55:32 +08:00
比起担心 APP 窃听,还不如担心下说“微信不云端保存聊天记录”的鹅厂掌握了多少秘密吧......能把所有权限都堵死,难道你和别人说话能加密么?
swulling
2020-08-21 16:57:33 +08:00
输入法 定位 剪贴板 图库 本地文件 通讯录 通讯记录 自动截屏 密码截取, 这些都是毫无疑问很低成本的去上传,技术上没有任何问题。

摄像头 录音,成本有一些,但是没有太大技术难度,只是有一些成本,大范围应用我觉得不太现实。更多还是定点针对。

另外不要小看输入法的威力,输入法加入广告联盟已经是一个默认的事实了。
binux
2020-08-21 17:01:24 +08:00
@baobao1270 #67 你当然能证明它存在啊!反编译或者抓包,甚至你自己实现一个也行啊。
Cloutain
2020-08-21 17:01:35 +08:00
大厂有底线,我 TM 想笑
hafuhafu
2020-08-21 17:03:05 +08:00
难道相关技术大神都和厂商同流合污了吗,不然怎么从几年前到现在没有一个人锤他们一下。
像当初小米路由器 js 劫持,光在 v2 就有人发现并且锤了,这种“窃听”不是更严重,目前尚未发现相关实锤。
bubuyu
2020-08-21 17:04:00 +08:00
还需要监听吗?今天几个同事群里面问谁有京东 Plus 帮忙买个小天才手表,我微信中点开链接,然后跳转到京东看了一下,后来又在京东的搜索栏搜了一下小天才电话手表,没过 5 分钟就收到学而思网校广告的短信了。
Cielsky
2020-08-21 17:08:13 +08:00
隐私泄露输入法最严重吧,其他的比如说上传照片,国产机都有流量管理,能大致看出个大概。后台默认白名单就常用的几个。
至于像有的说 QQ 删照片,这比如 emui 可以检测到第三方软件删你的照片的。
另外就是部分软件接入的广告有毒,会收集信息,这种开发者自己也不一定知道。
所以系统开发者和软件开发者对抗,这种类型的监听太容易被发现了,得不偿失。
输入法就不一样了,每天用的最多,分析你还是比较容易的。
fffang
2020-08-21 17:13:56 +08:00
xswl,专业的客户端开发都说这事不可能去做。

某些人还要言之凿凿的说有,好像真的反编译出代码来了似的。hhhhhhh 。
hafuhafu
2020-08-21 17:23:01 +08:00
我感觉用录音功能去监听用户的日常然后进行“个性化广告推荐”,是一种很“淳朴”的行为。
举个可能不是很合适的例子,就像那些做 QQ 机器人框架的,不是去逆向协议,而是通过图像识别和模拟点击来达成目的...
从另一个方面来说,用户在使用软件的时候,已经有意或无意中提供了大量准确、能明确表达用户目的的数据(搜索关键词、分享链接、点赞收藏等行为)给软件厂商,为啥还用这种淳朴、低效率、甚至不准确的方式来进行“个性化广告推荐”。
在知乎相关回答下看到很多把“在 A 搜索了物品 XXX,结果在 B 也出现了物品 XXX 的广告”这种行为归纳到“偷听”里面,这肯定不是窃听应该没有疑问吧。
现在的未解之谜应该是“我和朋友现实中聊天聊到了某物,结果也出现了广告”。不知道是不是双方中有人去搜索了,或者是凑巧,亦或时其他原因。
前阵子我也遇到过一次很诡异的广告推荐,大概是某天周末,我用 qq 音乐听歌,刚好想起以前的少女时代,然后就去搜了一首“gee”,并分享到以前的大学舍友群里并发了几句骚话,三天后,我的抖音广告,出现一个一个莫名其妙的游戏广告,名字是“AI 少女”,BGM 是“gee”...以往的广告都是爽文小说或是最强蜗牛以及近期电商平台搜索关键词的广告,这是我第一次遇到。
kera0a
2020-08-21 17:38:40 +08:00
@baobao1270 语音助手使用专门的低功耗芯片才能做到实时监听特定语音指令。

这反而证明了一般 app 想实时监听是很难的,一般的 app 是没有这种权限的使用这个芯片的,要监听必须让 cpu 大核一直运行。

我也不清楚为啥程序员占大多数的论坛也会有这么多不切实际的想法。不拿出一点证据,问就是一定有,再问就是我有一次说了啥给我推了对应的广告,这也能当证据?


以上是对实时后台监听的反驳(不是滥用麦克风权限)
希望持肯定意见的人用证据狠狠的蹂躏我。
不要我觉得,我上次,我认为,怎么会没有 说这些废话了
wisunny
2020-08-21 17:41:13 +08:00
@lzp729 你说的那是在法治社会,我大清自有国情在此
InkStone
2020-08-21 17:47:04 +08:00
@pkoukk 并不高。之前百度报 wormhole 的时候很多人都贴了反编译出来的源代码,我自己也看过。
如果你没想着破解他们接口的话,光是看几眼代码,那只需要脱壳(其实很多大厂出的 APP 根本不加壳,性能问题)外加人肉克服一下代码混淆就行。

甚至于你都不用看他们代码,在手机上运行一下看下有没有在后台调麦克风,一清二楚。就算是天顶星给大厂人手送了一个 0Day,也绕不过你能完全控制的系统。
azh7138m
2020-08-21 17:49:49 +08:00
端侧语音识别很难做,模型体积也很难降下来
看了下国内的技术氛围,我觉得难以实现

服务器端语音识别成本过高了,账单下来后,估计会被老板打死

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/700109

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX