天创培训:您身边的信息安全培训专家!
行业动态
外卖APP在偷听你说话?黑客:技术上能实现,但用户也能先防范起来

  闲聊中提起某些食物,外卖app就主动推荐,难道是外卖app偷听了谈话?近日有媒体称,经过试验发现部分外卖平台app存在“偷听”行为,通过手机、平板电脑等智能终端的麦克风“偷听”用户需求,继而进行精准推荐。对此,被点名的外卖平台均予以否认。


  不过,联想到央视“3·15”晚会曝光的“探针盒子”在不知不觉中窃取用户手机信息,很多用户还是关心自己的谈话是否安全。解放日报·上观新闻记者由此采访了一名“白帽子黑客”(指那些为了发现安全漏洞而进行模拟攻击的黑客)杨阳(化名),他毫不犹豫地表示:从技术上看,app确实能“偷听”,但这并不意味着相关app就进行了这一操作。他也对智能终端的用户给出一些安全建议,提醒用户保护自己。


  杨阳的笔记本电脑摄像头常年贴着粘纸,“因为不想被偷看”。他解释说,在黑客眼里,通用的软硬件都会存在一定漏洞,无非是漏洞大小、是否容易被发现的差别。所以,利用这些漏洞进行“偷看”“偷听”并非不可能。作为从业者,他深知“偷看”、“偷听”的可行性,所以采用物理方式——将笔记本电脑摄像头贴住——来避免被“偷看”。


  杨阳说,虽然利用技术手段让app通过智能终端的摄像头“偷看”或麦克风“偷听”并非不可行,但不论安卓还是ios系统的app在上线都要经过一定审核。如果app开发者明目张胆地设计“偷看”或“偷听”功能,显然无法通过审核。当然,不能排除有别有用心者使用技术手段或设置“后门”的方式为通过审核后的app增加相关功能。“不过,这种搜集信息的方式一旦被曝光,开发者肯定身败名裂。所以就算技术层面可行,开发者是否愿意铤而走险,非常不好说。”杨阳认为用户无需太担心。


  他还表示,就算一款app没有设计“偷看”或“偷听”功能,也可以因为黑客入侵而具备这些功能。他举例说,白帽子黑客界每年都会有不少技术比武,其中一个重要主题就是演绎各种真实版的《窃听风云》,包括通过入侵路由器获取某些智能硬件的操控权、侵入某些智能终端获取各种资料、利用智能摄像头或音箱“监控”用户生活,等等。“智能硬件一旦被破解,‘偷听’和‘偷看’的成功概率很高。”杨阳表示,很多白帽子黑客在发现这些问题后,会将如何入侵或发现的漏洞提交给相关生产商,再由后者通过软硬件升级来补上漏洞,“这在行业里是非常普遍的现象,也是白帽子黑客的职责所在,但对普通用户来说,可能觉得有些可怕。”


  杨阳表示,其实普通用户不用太担心。一方面,如果是正规渠道下载的app通常都经过审核,不可能直接带有“偷看”或“偷听”功能;另一方面,黑客入侵设备实现的“偷听”和“偷看”也有不低的技术要求或者必须在特定环境中才能实现。所以,用户可以有的放矢地采取自我保护措施,减少“被偷看”或“被偷听”。


  首先,用户需要在正规渠道下载app。如果是非正规渠道提供的app,可能未经审核,也可能本身存在木马病毒等,运行后会自动窃取用户信息。


  其次,用户在使用app时,要注意权限问题。腾讯社会研究中心和dcci互联网数据研究中心曾在2018年上半年对869个安卓手机app、275个ios手机app的三类隐私权限获取情况进行调查。从调查结果看,获取“打开摄像头”权限的app比例达到89.9%,获取“使用话筒录音”权限的app比例达到86.2%。基于此,智能手机用户、特别是使用安卓系统智能手机的用户在app提出隐私授权申请时,需要多留一个心眼,判断一下相关app提供的服务是否与用户授权的隐私信息相关。如果关系不密切,应当主动选择拒绝授权,因为很多隐私泄露发生在用户授权之后。


  杨阳表示,不论是使用安卓系统的手机还是使用ios手机,都有“隐私”选项,用户可以在使用app前,通过这些选项取消那些与app功能不太密切的授权,包括不让app使用摄像头或麦克风。那么,在app没有木马病毒、又没有黑客入侵的情况下,用户的信息安全是有保证的。


  最后,用户要谨慎使用公共wi-fi。杨阳表示,很多黑客入侵都发生在黑客掌握相关wi-fi环境的条件下,所以用户在使用公共wi-fi时,特别要注意避免使用那些可能导致信息泄露的app,包括登录账户、转账等。即使使用家庭wi-fi,也需要使用较为复杂的密码或经常更换密码。