隔屏有耳,你正被APP监听
翟冬冬
2018年01月24日 来源:科技日报
近日,据《纽约时报》报道,Google Play商店的250多款游戏APP存在监听用户的行为。这些游戏通过安装特殊的软件来监听用户家中的电视,以分析其观看电视节目的习惯。该软件由一家名为Alphonso的公司开发,目前Alphonso拒绝提供使用该软件的APP名单。
Alphonso声称,这种收集行为已得到用户允许。在安装带有这个软件的游戏时,部分游戏会提示用户,但大多数游戏只在隐私政策中提示相关条款。尽管Alphonso表示,他们只会监听电视等发出的声音,但这种做法还是令人担忧。此外,据称在关闭这些APP后,该软件还能继续收集用户信息。
匹配音频数据
“该软件的内容自动识别系统采用了一种较为成熟的技术。”北京邮电大学网络空间安全学院副教授辛阳向科技日报记者解释,该技术主要是将一段数字音频转化为数字指纹,并将数字指纹与电视节目音频数据库进行匹配。像国外的音乐识别软件Shazam,国内的QQ音乐、酷狗音乐等众多厂商都采用了这种技术。
“Alphonso就采用了Shazam的音频内容识别技术。”辛阳说,Alphonso利用安装在用户手机中的APP收集音频片段,并把这些片段提供给Shazam公司。Shazam利用自身技术进行识别,并将监听到的信息再卖给Alphonso。
辛阳介绍,将音频转化为数字指纹最常用的一种方法就是,对音频进行傅里叶变换之后得到这段录音的频谱,然后通过判断短时能量及短时过零率去噪,同时利用节拍修正、音调校准等方法进行修正,从而获得相对准确的音调序列。最后,利用模糊匹配算法、动态时间规整算法等多种方法匹配音频。
为精准营销提供便利
据Alphonso官网消息,Alphonso搜集用户信息的主要目的在于将信息提供给广告商,从而让广告商实现精准营销。
辛阳说,这些监听到的信息可以描述用户的生活习惯、思维习惯以及喜好,从而绘制用户画像、构建行为特征库,进而实现对用户行为的预测。
“这对大多数企业来说是宝贵的资源。”辛阳说,可以想象,如果能准确预测用户下一步的行为或者喜好,就可以提供针对性的服务。例如,广告商用其进行点对点的营销,产品制造商可以用其来指导下一步生产计划等。因此,该平台的获利方式就是把收集到的用户信息转卖给其他商业公司。
360手机卫士安全专家葛健也表示,部分恶意APP为了获取更大的商业利益,通过分析监听信息定向推送广告,侵犯用户的个人隐私。
葛健认为,如果一旦被监听,用户的隐私、商业机密等信息都有可能被泄露出去。一旦上述信息被获取,不法分子极有可能冒充他人身份对用户实施定向诈骗。
辛阳介绍,目前还没有证据表明Alphonso公司所监听的对象仅限于电视和电影等设备。一旦被监听的用户涉及政府要员、企业高管,那么就有可能造成极为严重的后果。
“这种行为泄露了大量的用户隐私,还造成手机电池损耗等问题。”辛阳说,同时这种行为也违反了我国《移动智能终端应用软件预置和分发管理暂行规定》和《中华人民共和国网络安全法》,对公民信息安全造成严重威胁。
如何防范监听?
“防监听的关键在于管控APP的权限。”辛阳说,目前iOS、安卓等主流移动端操作系统都集成了应用权限管理功能,苹果和谷歌的应用商店都要求APP在访问麦克风时,须征得用户同意。
然而,据记者观察,不少APP在安装时就强制用户同意使用麦克风。
辛阳建议,如果是安装了iOS系统的设备,请打开“设置”,进入“隐私”菜单,然后查看“麦克风”的设置。如果是安装了安卓系统的设备,请打开“应用&通知”,进入“应用权限”,然后点击“麦克风”查看设置情况,关闭APP中不需要的权限。
葛健说,现在高版本的安卓系统已能单独设置每个应用程序的录音权限。从使用便利性的角度考虑,相关研发人员可添加一个可以控制所有麦克风的开关。用户还可安装专业安全软件,定期为手机进行恶意程序查杀,确保手机处于安全环境之中。
在硬件方面,葛健建议,可以设计一些麦克风是否处在工作状态的提示灯,或设置一个硬件开关锁,决定是否让麦克风工作。