安全專家:技術上可實現 App 監聽,但用於廣告推薦是賠本買賣
聊啥來啥、精準推薦,手機 App 到底有沒有在“偷聽”?在近日搜狐科技舉辦的《AI 十二談》第五期直播中,國內知名白帽子公司 KEEN 公司聯合創始人、GeekPwn 實驗室安全專家宋宇昊認為,精準推薦的背後並不是語音監聽,主要原因是大資料和人工智慧所驅動的精準推薦廣告的能力所致。
“為什麼我們經常講到這個就會想到偷聽或者監聽?很大程度上是因為這種說法比較形象,容易想到諜戰這樣一些影視作品,比較有衝擊力。”宋宇昊說。
他提到,每個使用者在使用電腦、手機等智慧裝置的過程當中會留下大量的使用記錄,包括搜尋、購買、瀏覽、播放、定位等,App 通過採集這些資料,傳到雲端後臺,再去提取特徵,就可以刻畫出很精準的使用者畫像,比如使用者年齡段、生活習慣,甚至可能通過地理位置和網路 IP 地址,可以分析出使用者跟哪些人在一起工作生活,做出更精準的推薦。
不過,宋宇昊強調,雖然精準推薦不是監聽所導致,但並不代表這種方式沒有問題。“App 不需要監聽就能夠用更低廉或者更快捷的技術手段,來達到甚至超過監聽的效果,那麼一旦被濫用,可能給我們帶來各種各樣的風險隱患。”
他進一步分析到,這裡的隱患分幾個層面,最初級的層面就是廣告會更為精準,使用者轉化率會更高。往更高一層來看,生成出來的使用者畫像、使用者標籤如果被犯罪分子獲得,就很有可能提升詐騙的成功率;資料中的敏感資訊,比如簡訊、通話記錄、精確定位等,如果洩露,可能直接危害使用者的財產,甚至人身安全。
在實際情況中,除了 App 所謂的“偷聽”,還有一種情況也比較普遍,就是在某個 App 搜尋瀏覽的東西可能會出現在另外一個 App 上,這又是怎麼回事?對此宋宇昊分析稱,這涉及到兩個方面,如果說是同一個企業不同的 App,它們之間會共享使用者資料以及使用者畫像,屬於企業內部的資源整合。
另一個方面,完全不同陣營的 App 也可能會出現這種情況,這是因為不同陣營、不同企業都處在巨大的網際網路廣告的產業鏈當中,不同平臺和不同公司之間都有資料共享、資料交易,包括廣告外掛等不同形式的合作,所以就會出現跨 App 的精準廣告推薦。
那麼,從技術上而言,手機 App 是否真的可以做到監聽使用者?宋宇昊認為,這個問題涉及到兩個階段,第一是監聽,第二是對監聽資料的分析和處理。
“如果 App 廠商想要監聽你,這個從技術上來講太容易實現了,沒有任何技術壁壘。”宋宇昊表示,App 只要開啟手機的麥克風,就可以直接上傳音訊,也可以採取更隱蔽的方式,先把語音識別轉換成文字,再上傳到雲端伺服器。
他進一步分析到,關鍵是上傳的資料怎麼樣去解讀和分析。如果用人工去分析,那成本肯定非常高,不可能大範圍地去實施。如果用計算機來自動處理,按照目前 AI 的發展水平,想要理解或者概括人類這種自然語言的對話,不能說完全做不到,但肯定是做不好。
“肯定會出現大量的錯誤資料,比如聊天當中說了奶茶,其實講的是喜歡劉若英,這就和精準推送的目標事與願違,效果差,成本高,不適合用在精準推薦的場景中。”宋宇昊補充到,一些高價值的目標,比如商業領域的關鍵人物,可能確實需要擔心監聽問題,但對普通使用者來說,為了廣告推薦,用監聽的方式肯定是捨近求遠,是一個賠本買賣,企業不會願意做。
聊啥來啥、精準推薦的情況能否完全遏止?使用者又該如何保護好個人資訊?宋宇昊認為,這在技術上不可能完全杜絕,但可以在技術上設定一些限制,儘可能減少個人資訊的暴露。
他提到,使用者可以根據 App 用途,關掉它沒有必要獲得的許可權。此外,手機廠商近年都進一步加強了隱私保護,開發了“禁止 App 跟蹤”,即不讓 App 獲取手機唯一的識別碼,這也可以比較有效地減少跨 App 精準推薦的現象。
此外,從 App 開發者的角度來看,每個 App 需要申請哪些許可權,在 App 開發過程中有明確的標籤可以設定。如果說 App 開發者真的想在這方面做到合法合規,技術上完全可以實現。
宋宇昊還提到,現在很多常見的免費的網際網路服務,並不是真的免費,而是使用者提供自己的個人資訊來作為其使用網路服務的代價。網路服務商再拿著使用者的個人資訊以其它方式來獲取商業利益,訴求就是儘可能利用使用者資料獲取更大的利益,並沒有動機去追求平衡。
“這時候也需要法律法規的監管和約束,保護使用者的權益,讓使用者能夠自主地去決定到底提供多少個人資訊給廠商,讓個人資訊換取服務的交易變得更加公平,而不是無條件把個人資訊作為廠商的搖錢樹,能夠做到雙方對等公平的交易。”宋宇昊表示。
不過,在實際生活中,很多使用者為了便利,讓渡了自己的隱私權,也可能不會耐心去看 App 的隱私政策。宋宇昊表示,以前使用網際網路服務,授權給 App 的資料會到哪裡去,使用者根本不知道,也沒有辦法撤回,完全無法控制。但這個月剛實施的《個人資訊保護法》就對此有了明確的規定,使用者在個人資訊、個人資料方面獲得了更大的自主權。
他舉例到,以前如果使用者不同意授予某些許可權,程式就拒絕提供服務,而《個人資訊保護法》中明確規定使用者可以拒絕提供個人資訊,App 不能以此為理由拒絕提供服務。“使用者要開始學會使用說不的權利。”
宋宇昊還給出了兩個最基本的安全建議,一是從正規的渠道下載 App,如果 App 下載渠道都有問題,那麼保護個人資訊就無從談起。另外,儘量使用自己信任的 Wi-Fi 網路或使用移動資料網路,不要使用不可信的公共 Wi-Fi,防止個人資訊被惡意截獲。