2021.10.15

iOS 15成各大App“偷窥照妖镜”?

近期,苹果正式推送了iOS 15正式版。

每年iOS大版本更新总会迎来一波关注,有吐槽功能乏善可陈的;有抱怨新版本Bug很多的……但是今年,iOS 15新增加了“记录App活动”这项功能,却被网友评价称“立了大功”,揭开了各大互联网App“小偷”的本质。

这是怎么回事呢?

原来,iOS 15开放记录App活动功能后,通过第三方App导出记录,用户可以查看到手机中所有App读取相册、定位等个人信息的记录。

所谓不查不知道,一查吓一跳。根据网友发到社交平台上的记录截图显示,有的软件竟然在后台连续不断地获取相册、定位等信息。例如微信会持续获取相册信息,美团则会持续获取用户定位信息等。

这些数据公开后,引发大众对互联网应用是否侵犯个人隐私问题产生质疑与担忧。那么,实际情况是否如网友所言,很多App会在后台持续不断的获取用户个人信息呢?三言财经特地更新iOS 15实际测试了一番。

各种App的确会持续不断获取信息

本次测试机型为iPhone X,系统版本为iOS 15.0。测试App包含了一些用户经常会用到的App,包括饿了么、美团外卖、大众点评、知乎、微信、QQ、京东、淘宝、淘特等。

三言财经初步采用了两种测试方法,一种是在一段时间内频繁打开某个App,之后观察信息读取情况;另一种则是将所有App开启并放置在后台中,将手机息屏静置半小时左右再观察记录。

首先,第一次测试时,笔者在几分钟内连续多次打开微信、QQ、百度地图和美团外卖四款App。App活动检测记录显示,上述这几款应用都在短时间内产生了大量获取相册、定位信息等行为;

不过,笔者注意到,上述App检测行为并不仅取决于用户是否有对应操作。例如,测试中笔者仅仅打开QQ、微信和百度地图等App后迅速将其转入后台,并无使用图片、麦克风等操作;但检测结果显示这些App仍然会读取对应信息。

其中,QQ和微信不断要求获取照片、通讯录和定位信息;百度地图则不断要求获取定位、麦克风等信息;而美团外卖则持续获取定位信息。

第二次测试中,受测App增加了饿了么、高德地图、大众点评、京东、淘宝、淘特以及知乎等。并且将所有App放置于后台,手机静置30分钟左右。

结果显示,这30分钟内,微信、QQ、大众点评会多次要求获取位置、图片等信息;高德地图、百度地图、知乎、支付宝、bilibili则仅在笔者第一次开启时要求获取位置信息。

难道我们的个人信息真的被暴露了?

这个测试结果似乎验证了网友们的“发现”,原来手机上日常使用的各大App都在“偷摸”的查看我们的个人隐私。

这是真的吗?

目前,腾讯和美团方面对此事做出了回应。

10月8日,腾讯回应称,iOS系统为App开发者提供相册更新通知标准能力,相册发生内容更新时会通知到App,提醒App可以提前做准备,App的该准备行为会被记录成读取系统相册。

微信称,当用户授权微信可以读取“系统相册权限”的前提后,为便于用户在微信聊天中按“+”时可以快速发图,微信使用了该系统能力,使用户发送图片体验更快速流畅。上述行为均仅在手机本地完成,最新版本中将取消对该系统能力的使用,优化快速发图功能。

用户在使用微信时,一定会注意到微信一个“贴心的”功能。每当用户新保存、截图了一张图片后,此时进入微信与好友聊天并点击“+”时,会自动弹出相册里最新储存的图片。

这实际上就是腾讯回应此事的简单逻辑,为了能够提供这个功能,微信就需要获取图片信息,所以会在App检测记录中显示。

不过,在三言财经本次测试过程中,并没有做任何截图、存储图片、与好友聊天、点“+”发图片的操作,但是记录仍然显示微信在持续获取图片信息。

10月11日,美团App一位技术工程师在接受采访时回应美团不断获取定位信息一事称,是因为这类软件(检测App活动的软件)在单方面读取系统操作日志后,进行了选择性展示,经测试,在相关权限开启且 App 后台仍处于活跃状态时,大部分主流 App 均会被该软件检测出频繁读取用户信息,且监测结果高度相似。

App获取信息与用户权限设置呈正相关

按照美团这名工程师说法,相关权限处于开启而且App后台仍处于活跃状态时,才会被检测出读取用户信息情况。

三言财经再次改变测试条件,结果显示,确如该工程师所言,App读取用户信息受限于诸多条件,包括但不限于必须处于后台开启状态、用户提供了各项授权等。

例如这一次测试中,笔者将iOS所有后台应用全部关闭,记录过程中仅手动打开了百度地图和大众点评各一次。检测结果则只有大众点评和百度地图相关信息,其余App全部没有任何尝试获取个人信息的行为。

这一次测试中,笔者将所有App的获取定位权限和照片权限全部关闭,但保持后台活跃状态。在这样的情况下可见所有App都不再有获取定位以及照片行为,但是因为没有关闭麦克风和通讯录权限,所以记录下了百度地图尝试获取麦克风权限;微信与QQ则尝试获取通讯录权限。

为了进一步测试,笔者索性将iOS系统中所有App的各项权限全部关闭,包括照片、麦克风、定位等;如此一来,App活动检测则未能检查出任何App存在获取相关信息的动作。 

因此,可以得出结论,在iOS系统中,App能否获取到用户定位、相片等信息,取决于App是否处于后台活跃状态并且拥有用户主动授权的一切权限。

如果用户担心自己的个人信息泄漏,则可以选择手动关闭相关权限。

存在过度获取信息行为

不过,如果担心个人信息安全问题选择将所有App各项权限关闭,则会面临两个问题。一个是比较麻烦,iOS不支持批量设置,要给成百上千个App依次关闭授权较耗时间;其次,App获取这些个人信息其实并不一定是“窥探”隐私,与之相反,是为了能够更好的提供服务。

App若是真想“出卖”用户,必须做到跨应用、跨设备获取信息;但是iOS系统封闭性以及沙盒机制设计,不允许App间随意访问,也不能够对设备信息进行跟踪。所以,单一App获取到的“有效信息”其实有限。

这毕竟属于具有一定专业知识的概念,对于普通用户来说,当看到某款应用针对个人信息有获取行为时,产生恐慌心理是很正常的行为。

纵使如此,App在获取信息时也的确涉及到“过度索取”问题。 

按照腾讯方面回应,微信读取照片信息的行为前提是相册内有新图片存入。此时可以理解为iOS系统会“通知”微信,之后微信开始读取相册。 

但是在三言财经本次测试中,全程并没有任何保存图片、截图、与好友聊天以及点“+”发图片等行为。但检测结果却显示微信依然尝试读取相册信息。这或许意味着微信并不想等系统“通知”,而是随时随刻在跟踪用户相册信息。 

同样问题也存在于QQ、百度地图等App。测试过程中仅仅只是开启App再放到后台,没有进行任何聊天、传图或者使用麦克风等行为,QQ和百度地图还是会读取相册和获取麦克风权限。 

仿佛这些App能够“预见”到用户将会有相关行为,提前做好准备。这实际上是一种过度获取信息行为,很难不引发用户恐慌。 

但在信息时代,打造一个“信息孤岛”与世隔绝并不现实,这个问题的内核实际上是各大互联网企业如何合法合规采集信息的问题。一方面需要监管层面规范市场,另一方面也要市场参与者保持克制,珍惜资源。

随着消费者、网民个人信息保护意识增涨,相信会让所有行业参与者敲响警钟,谨慎处理敏感信息。合法合规获取信息同时,也应当做到“按需获取”,在用户没有操作、没有需求时,不应当过度索取信息。这也能够避免用户产生恐慌心理,毕竟维护好用户利益,才是最大的商业价值。

本文来自微信公众号 “三言财经”(ID:sycaijing),作者:DorAemon,36氪经授权发布。



上一篇:手机坏了换吧,真的不敢修了

下一篇:为了证明 Windows 11 有多安全,微软亲自「黑」掉了自家电脑