《TO 導讀》:中國網友爆料,支付寶 App 每隔幾分鐘,就會在用戶不知情的情況下,在背景中啟動拍照功能並錄音,上傳到伺服器上。App 同時也會把手機通訊錄、對話紀錄、附近基地台與 Wifi 資料一起送出,完全洩漏使用者隱私資料。根據爆料網友 typcn 推文指出,支付寶目前已將 previewCallback 功能改為 startPreview,也就是只開啟相機而沒有其他動作,這樣一來就很難抓到證據,但是要謹記,保護用戶隱私的方式,就是不要蒐集任何相關數據。本文作者為《雷鋒網》華記,同時也對支付寶此功能有所測試,以下為華記第一人稱描述。
用過 Android 的朋友也知道,每當手機安裝新程式時,都必須同意一堆密密麻麻的許可權需求,人們往往會擔心其背後的安全隱患。這種擔心,擴展到涉及個人隱私與金錢交易的應用,尤為甚之。
網友 typcn 在推特爆料,指支付寶 Android 版有偷偷拍攝與錄音的可能性,「每隔 X 分鐘(伺服器指定)會在後臺開啟攝像頭拍照,錄音 X 秒,然後上傳到伺服器上。」
今天 typcn 陸續發推,指出支付寶存在偷拍可能的技術細節:「開啟相機預覽,再從相機預覽的畫面截圖,這樣就不會調用 takePhoto ,在部分強制開啟拍照聲音的手機上,也不會出現聲音,因為是在預覽緩衝中所擷取的圖像。」根據他的描述,支付寶可能存在的偷拍行為是通過動態載入 APK 來實現的,很難採集到載入時留下的拍照代碼。
細心的朋友會發現,從 9.0 版本開始引入「朋友」介面,再到 9.2 版本推出生活圈,再到今年紅包大戰活動,支付寶正逐步把注意力從支付轉向社群。因此有陰謀論的分析認為,如果真有「作案動機」,估計是出於社群發展的目的。也有聲音質疑,就算支付寶有充足的動機,其所承擔的侵犯隱私的風險極大,根本就得不償失。
事件持續發酵,在中國知識社群知乎也引起廣泛討論,一些網友從不同方面驗證著 typcn 的說法,如網友東仙隊長提出一個間接支持的證據:在其調整過核心的 Nexus 5x 手機中,只要調用錄影機就可能卡死甚至重新啟動 。但使用一段時間後,即使不啟動與相機相關的應用,手機有時用著用著也可能出現卡死,卸載支付寶後就一切正常了。
網友 Comzyh 則用自己的 Android 手機設計實驗。在完全關閉支付寶的狀態下,先打開手電筒,再打開支付寶,然後發現燈滅了。再試著打開手電筒,然而打開微信掃一掃,發現燈又熄了。這表明,無論是打開手電筒或者微信掃一掃,同樣需要調用攝影機的許可權,兩者是互斥使用的。在有充分使用授權的情況下,後者的許可權要求會覆蓋前者。所以,打開支付寶會觸發燈滅,可能就因為開啟支付寶時也會啟動攝影機。
我用自己已更新至 Android 5.1.1 版本的 Sony Xperia Z3 嘗試了這個實驗,確實存在攝影機啟動許可權互斥的情況,但不會觸發手電筒燈滅。這或許跟系統的應用授權設置,以及我經常在 Google Play 更新的習慣有關。
支付寶在當日下午便在官方微博回應此次隱私門事件。「關於支付寶Android版本申請調用許可權的說明」一文提到:
1. 要在支付寶裡要給好友發送語音,就需要啟動錄音的許可權。支付寶只會根據功能需求申請許可權,否則不會去侵犯、洩露使用者的隱私資訊。
2. 網路流傳「支付寶會悄悄偷拍與錄音,然後上傳至伺服器」的說法純屬毫無根據的造謠。申請攝影許可並不等於實際啟動。支付寶絕對不會「在使用者不知情的情況下,後臺啟動攝像頭拍照或錄音」。
3. 在 Android 6.0 以下,系統沒有提供標準的許可權提示和檢查介面,因此採用提前觸發許可權的方式,這種設置,會形成貼文提到,在啟動時申請攝影機和錄音許可權的情況。未來的版本會優化體驗,避免用戶誤解。
4. 不管產品功能怎麼變,支付寶為用戶提供簡單、便捷、可信賴的服務體驗的初心,永遠不變。
5. 歡迎大家向支付寶提出有益的建議,協助提升用戶體驗。對於惡意造謠中傷,支付寶也將採取法律手段維護自身的合法權益。
爆料網友 typcn 也在半小時內內回應支付寶聲明。
Google 在去年 5 月 I/O 大會發表 Android 6.0 版本「Marshmallow(棉花糖)」,新系統在授權上與 iOS 相同,當 App 請求地理位置、攝像頭、麥克風、連絡人等許可權時,會單獨彈出對話方塊詢問用戶是否願意授權。 根據 Google 本月初的資料,截止至 2016 年 2 月 1 日,運作 Android 6.0 系統的設備比例才達到 1.2%。也就是說,因可更新的設備有限,在可預料的很長一段時間內,絕大多數的 Android 用戶是吃不上棉花糖的。遇到類似情況,你只能自求多福。
Anyway,這真的不是在為蘋果打廣告,我用的也是 Android 手機,我也是可能的潛在受害者。支付寶已表態「偷聽錄音純屬造謠」,我也就信了。因為除了說一些「提高警惕」、「不要從奇怪商店下載應用」的空泛話,我他媽的又還能說些什麼呢?
(本文獲《PINGWEST》授權轉載刊登,原文標題為〈支付寶回應 Android 隱私門:「偷拍錄音」純屬造謠!〉,資訊補充:自由電子報,圖片來源:el ranchero CC Licensed,未經授權請勿轉載)
- 延伸閱讀:
失控的大數據》芝麻信用變身國家忠誠檔案,商業應用為何樓歪了?
不只該擔心芝麻信用,這個影響更大:中國通過反恐法案,加密個資恐不保
台灣人不用擔憂大政府侵占隱私,因為政府根本不懂怎麼利用
