回覆列表
  • 1 # 秘跡Leakzero

    擔心“隔屏有耳”,還能不能愉快的聊天啦?

    2018年11月中旬,上海的孫女士在和同事閒聊時,提到想喝CoCo奶茶,沒想到打卡餓了麼App就在推薦商家首位看見了CoCo奶茶。讓孫女士疑惑的是,自己之前從未在餓了麼買過CoCo奶茶,“此前也沒有使用任何手機App搜尋過CoCo奶茶的相關資訊。”無獨有偶,北京一位網友燃玉(化名)在2018年11月14日晚上8點左右,跟朋友說想吃鰻魚飯,1分鐘後開啟支付寶上的餓了麼應用,推薦位頂部恰巧顯示著一家鰻魚飯的外賣店,此時距離他上次下單鰻魚飯相隔23天。《IT時報》記者用了3個多月的時間,透過模擬使用者使用場景,對安卓手機、蘋果手機、蘋果平板電腦上的“餓了麼app”和“美團外賣app”進行了多輪測試。從測試情況來看,在隨後數分鐘到數小時的時間裡,出現相關推薦的機率高達60%-70%。01 app說“沒偷聽”,我可不相信

    當看完上一段的文字,你是不是不假思索地相信自己“被偷聽”了?

    針對媒體報道APP麥克風疑似“偷聽”的情況,美團迴應稱有關行為並不存在,美團外賣只會在獲得使用者語音使用授權,且使用者主動發起美團外賣App內的語音輸入行為時,才會使用麥克風。此外,美團外賣僅會在使用者表達了明確需求資訊、進行主動查詢後,才會進行相關推薦輸出。餓了麼方面則表示,所謂“監聽使用者日常對話並做資訊分析”的無端猜測,餓了麼既沒有做類似的產品設定,也不具備相關技術條件,餓了麼始終如一地嚴格保護使用者隱私,任何必要的資訊採集都會在取得使用者事先同意的前提下進行,在合法合規的範圍內使用。

    秘跡同學猜測,你看完了餓了麼、美團的解釋,也仍然相信自己“被偷聽”了。沒辦法,我們被各個平臺收集隱私、侵犯隱私給“套路”太多次了,實在是讓人不信都難,更何況,隱私問題從聊天軟體誕生那天起就一直存在,日積月累這麼多年,對隱私的擔憂早就深深紮在我們的心裡了。

    然而別怪秘跡同學說話難聽,網際網路er最“賤”的地方,就是明明隱私被侵犯了,你還不注重保護隱私。就好比最近“隔屏有耳”事件尚還有些話題度,但過兩天被其他熱點事件一刷屏,剛打算著培養一些保護隱私的好習慣,立馬就全忘掉了。不然你看,下面的幾個事件你是不是還記得?

    首先,在零幾年的時候,MSN還是即時聊天領袖,聊天軟體們還沒意識到需要給自己做通訊加密,網管透過網路抓包解包就能看到員工的聊天記錄。因此有些網管軟體還把能向老闆呈現員工的聊天記錄作為賣點向公司推薦。

    有多少95後00後知道MSN?

    Your boss is watching you!

    之後,隨著QQ開始對聊天內容進行加密,網管軟體不能檢視聊天記錄,只能對QQ埠進行封禁。但企業管理者為了限制員工在上班期間私聊QQ,便在公司裡傳遞一種聊QQ會被監控的感覺。最終,當年的上班族腦子裡都有一個認識:聊天記錄會被偷看。

    轉眼進入10年,QQ大戰360事件爆發時,網上就出現各種嘲諷QQ的段子:

    “360試圖派人攻擊騰訊的伺服器,不過騰訊由於安裝了360而倖免於難。360員工正在QQ群裡研討下一步攻擊計劃,卻被QQ工程師監聽到了聊天內容。”

    這雖然只是段子不是事實,但段子的產生是基於使用者內心裡的不安全感,以前是網管能看見,現在網管看不到了,聊天伺服器旁邊的維護人員是不是能看到?就算他們看不到,產品經理、開發工程師、馬化騰是不是也能看到?

    再往後,網際網路進入了移動時代,微信騰空而出。微信認識到保護使用者隱私的重要性,將不儲存聊天記錄資料作為它的一個特色,很多公司同事已經是QQ好友,還會和你加上微信,因為用這個聊天不會被網管發現。張小龍也很給力,很多人千呼萬喚微信增加會員儲存聊天記錄的功能,微信也還堅持著保護使用者隱私的原則。但不記錄,就能代表不看嗎?

    在和聊天軟體接觸的這些年裡,從一開始被網管軟體安排的明明白白,到被企業管理者、網路段子嚇唬,再到如今被大資料全方位地資訊捕撈,我們並非容易輕信app竊聽通話,而是我們已經對“網際網路巨頭保護個人隱私”失去了信任。在使用者對網際網路大資料侵犯隱私的擔憂下,大家“相信”自己的聊天內容肯定是被偷聽了。對於企業,這是很難自證清白的事情,其實已經和聊天工具無關,更多的是大家的心理判斷。更糟糕的是,隨著大資料精準廣告越來越多越來越準,大家總能撞上聊天內容和廣告相符的情況,就算事實擺在面前,再說微信不偷聽,自己都不相信。

    02 那麼,隔屏到底有沒有“耳”?

    再說回我們原本擔心的事情吧,目前主流的app是否會透過偷聽我們的日常對話來收集隱私呢?秘跡同學的答案是“主流app大機率上不會去竊聽使用者的日常隊徽”。我們目前常用的app可能會上傳使用者相簿圖片,但通常不會去竊聽,因為竊聽的技術門檻並不低。

    就拿這次事件的主角餓了麼來說,如果它要竊聽你,後臺執行很容易讓你的手機耗電量巨大(還會佔用大量記憶體),不論是在IOS還是安卓平臺上,後臺錄音要麼會在狀態列有明顯提示,要麼會被限制或者被消滅掉。再說到竊聽本身,不間斷監聽、識別方言、對大量複雜資訊進行語義分析、最後還能透過分析篩選出幾家你喜歡的店家,這一系列操作的技術門檻可沒有那麼低,如果餓了麼有這麼強大的技術,那是分分鐘被軍方盯上的節奏啊~

    iOS後臺正在錄音

    即便餓了麼真的有這麼強大的技術力量,如有竊聽使用者隱私的行為,小到應用市場,大到監管部門對此都是絕不姑息的。所以,竊聽的技術難度大、分析成本高,帶來的利潤卻極小,即使真的動用了這樣的黑科技,一旦被發現被舉報,餓了麼可能就直接完蛋了。作為一個外賣軟體,研發黑科技來竊聽使用者的隱私無異於用高射炮打蚊子,對於公司而言更是揹著一顆不定時炸彈負重前行。總而言之,畫像方法千千萬,悄悄錄音最笨蛋,餓了麼不會這樣幹。

    既然沒有偷聽,那麼app為什麼還能對我知根知底呢?原因就在於網際網路公司和你“猜心思”根本不需要竊聽,依據你在網路上留下的其他資訊,比如定位資訊、購買記錄、搜尋記錄等,就能輕鬆的“猜對你想要的”。比如某一天你在和朋友聊天時提到了想去湖南鳳凰古城遊玩,結果晚上就在微信文章精選裡看到了一條鳳凰古城的攻略,為什麼呢?很有可能因為你的微信地址資訊是在長沙市,而且平時喜歡看一些旅遊類文章(可能你都沒發覺自己喜歡看這類文章),臨近清明假期,鳳凰古城剛好是離長沙較近的一個國家4A級景區,那篇文章可能也剛好花了一些心思進行推廣,就在這千絲萬縷的關聯下,它來到了你面前,你卻懷疑被“竊聽”了。

    如果你想知道更多關於大資料“人群捕撈”等資訊收集方法,碰巧秘跡同學的上一篇文章說了這個現象,戳這兒複習一下。

    03只有赤身裸體,才能保證安全…嗎?

    即便上面花了大量篇幅說明app不會竊聽你,但秘跡同學相信你此時心裡還是充滿不信任的。秘跡同學知道,也理解,因為這對於任何企業來說都是一件難以自證清白的事情,秘跡同學也從沒想過幫他們澄清。工作生活已經足夠艱難了,拿起手機想看看資訊聊聊天,還要面臨著隱私洩漏的威脅,真累。不管是不是捕風捉影,我們心裡已經不能放心使用現在的聊天軟體,想要和別人說點私密話,還能不能找到“此間更無六耳”的聊天環境了?

    當然有了,秘跡同學向你隆重介紹——澡堂,又名“溫泉”、“桑拿”、“洗浴城”,飯後休閒好去處,商業洽談好場所。赤身裸體,我們不用擔心裝置竊聽對話,才能夠讓人足夠放心的聊天。只是令人感嘆,聊天軟體的誕生,本是為了讓兩端的使用者可以方便快捷的交流,但在各種”竊聽風雲“之下,我們卻不敢在聊天工具面前坦誠相待……

    不泡澡堂子,就不能愉快的聊天嗎?!

    比起在澡堂子赤身裸體,坦誠相對,聊天軟體在我們的交流之間增加了很多過程,包括通訊、身份鑑權、伺服器。雖然你不一定相信,但是這些過程其實都是有手段去防止竊聽的。

    在通訊過程將明文傳播改為SSL加密傳輸,就可以杜漸在通訊中被竊聽,網管就看不到你的聊天記錄。

    SSL是一種國際標準的加密及身份認證通訊協議,你用的瀏覽器就支援此協議。SSL(Secure Sockets Layer)最初是由美國Netscape公司研究出來的,後來成為了Internet網上安全通訊與交易的標準。SSL協議使用通訊雙方的客戶證書以及CA根證書,允許客戶/伺服器應用以一種不能被偷聽的方式通訊,在通訊雙方間建立起了一條安全的、可信任的通訊通道。它具備以下基本特徵:資訊保密性、資訊完整性、相互鑑定。 主要用於提高應用程式之間資料的安全係數。SSL協議的整個概念可以被總結為:一個保證任何安裝了安全套接字的客戶和伺服器間事務安全的協議,它涉及所有TC/IP應用程式。

    提高身份鑑權安全程度,準確識別每個使用者的真實性,就能防止駭客冒充使用者進行竊聽。

    身份鑑別有很多改善手段,如:密碼複雜性混有大、小寫字母、數字和特殊字元,口令週期;鑑別資訊加密傳輸;使用動態口令、數字證書、生物資訊識別;使用兩種以上的識別措施。

    採用端到端加密技術,就可以讓伺服器無法解密聊天記錄,防止工程師在伺服器器端偷聽。

    端到端加密允許資料在從源點到終點的傳輸過程中始終以密文形式存在。採用端到端加密(又稱脫線加密或包加密),訊息在被傳輸時到達終點之前不進行解密,因為訊息在整個傳輸過程中均受到保護,所以即使有節點被損壞也不會使訊息洩露。

    但如果所有的加密手段都是由聊天軟體提供,加解密的鑰匙都在聊天軟體手裡,怎樣確保聊天軟體不偷聽呢?

    透過第三方端到端加密工具就可以解決這一問題。在聊天內容交給聊天軟體之前,先加好密,聊天軟體只能接觸到密文,沒有接觸金鑰,就無法解密得到明文的聊天內容,只有對方可以透過第三方端到端加密工具解開聊天內容。在此期間,第三方端到端加密工具無需聯網,解密的金鑰也不在網上傳遞,從而避免了任何一方能竊聽使用者聊天的可能。

    從十幾年前的MSN時代,就有這種軟體需求,但因為操作太過複雜,而不易推廣。現在好了,使用秘跡悄悄話,只需要獲得一個隨機的暱稱,新增好友就可以給好友傳送只有他能檢視的安全聊天內容。在iOS手機上,可以用悄悄話鍵盤直接在IM裡輸入加密後的內容,在安卓手機上,可以透過工作列開啟秘跡悄悄話浮窗,就能把聊天內容變成密文。當然,這樣傳輸的密文一個字就都會變成超長的文章,悄悄話會聯網把密文傳遞給伺服器,轉換成短連結讓傳輸內容更有可讀性,這是可選的,把秘跡的網路訪問許可權關掉一樣可以用。

    要是還有朋友問你,咱倆聊天的內容不會被別人監聽吧,你可以使用者悄悄話放心的告訴他“此間更無六耳”。

  • 中秋節和大豐收的關聯?
  • 電瓶儲存電的原理是什麼?