为何APP没开权限，却能做到偷你的隐私秘密？

“隔屏有耳”系列 道之二

为何阿里系App“最懂我”

专家解读：“偷听”无须太高门槛 App结盟数据共享普遍存在

但也有 友提出质疑，认为在线“偷听”的数据量过大，App和手机都无法承受如此巨大的计算量，“巧合”很可能是基于现在互联 公司强大的大数据计算和推荐。

疑问一：“偷听”数据大，成本高，吃力不讨好？

专家答：本地语音转换+关键词触发上传 大数据量不存在

3月21日，澎湃新闻在《团队自编程序证实手机能偷听，安全专家：未发现“偷听”铁证》一文中展示了 络尖刀创始人曲子龙和他的人工智能团队进行的一场测试，仅用了不到5个小时，通过程序员编写示例代码，模拟打造一款手机软件，安装在一部安卓系统手机中，再设置为允许该模拟软件使用手机录音权限，然后将手机屏幕锁屏。

结果，该款模拟手机软件成功获取了曲子龙团队的讲话内容，并传输给后台服务器转化成文字信息。

简单来说，就是曲子龙团队从技术层面实现了App锁屏时在后台仍可以“监听”用户讲话内容。

也有 友质疑，语音数据量巨大，能耗高，“偷听”用户的成本太大，这降低了App“偷听”用户的可能性。对此，曲子龙在视频中表示，可以把需要触发的词做个库留在App上，用户讲话内容一旦触发特定的词，便会唤醒这个应用开始监听及分析，以此降低能耗。

国内知名白帽子公司KEEN GeekPwn实验室宋宇昊认为，App完全可以将麦克风听到的语音在上传之前先转换成文字，这已经是很成熟的技术。然后通过在文本里提取关键词发送云端，在云端分析文本特征，并和用户身份关联，给你精准画像，在大数据时代，这些技术都是相当成熟的。实际上，通过App语音输入的方式，在本地将语音转换成文字，上传的只是几个标签，完全不存在大数据量的问题。

“将一个人一天讲的话处理成文本，也只有几页纸。如果采用关键词唤醒，数据量还会大大降低。将语音处理成文本的技术并不高级，现在很多输入法都能做到。”贵阳大数据交易所执行总裁王叁寿也持同样看法。

不过，宋宇昊也强调，尽管技术上是可以做到的，但从目前观察来看，无法对App是否“偷听”做出结论。

事实上，早在20世纪90年代，用于离线语音输入的PC客户端软件就已经出现。宋宇昊指出，随着近些年人工智能的发展，这一技术已经非常成熟，可以不依赖 络在手机中流畅地输入，甚至，一些语音输入的App可以在手机离线无 络的情况下实现语音输入。

“1分钟的音频，只有100ms（毫秒）的延迟。”科大讯飞的技术专家说道。按现在的 速和机器性能，以上的操作可以认为是实时完成的。

同时，随着边缘计算越来越成熟，“偷听”的成本还将大大降低。

这并非凭空猜测。据上述专家介绍，在车险行业，车险服务商已经推出基于驾驶行为的保险，通过内置摄像头的行车记录仪和边缘计算和面部图像识别技术，系统能够捕捉驾驶员打哈欠、闭眼、打电话、抽烟等异常动作，这些数据都将用来做车险的风控模型，比如保险人的保费测算，而数据源是车内摄像头拍下的视频，通过边缘计算，可以大大降低数据上传量。

上接第1版

疑问二：App没有开权限，它们如何“偷听”？

专家答：数据共享普遍存在

“在同一生态里，底层数据库都是共享的。”王叁寿说道。

3月15日，恩惠（化名）与同事们正在讨论共享电单车电瓶回收的事情，10分钟后，她打开了闲鱼，却突然看到了满屏的电池、电瓶、逆变器以及二手电瓶车转让信息，此前，她从未在闲鱼或淘宝上搜索过相关商品。恩惠怀疑闲鱼在“偷听”自己，可打开设置一看，闲鱼、淘宝的麦克风都是关闭状态，但阿里系App中的高德地图麦克风是开启状态。

为了进一步测试是否巧合，恩惠和同事们开始讨论AirPods，过了一会，刷新后的闲鱼首页变了，二手AirPods开始出现在推荐位。“细思极恐”的恩惠关掉了高德地图等所有阿里系App的麦克风权限。

也就是说，可能存在的情况是，A虽然没有获得用户的麦克风或者读图权限，但是完全可以通过有权限的B获得信息，实现数据共享。这一点，从这些App的隐私协议中可见端倪。

疑问三：说方言，就能防“偷听”吗？

专家：AI可识别20多种方言

有用户质疑，当下人工智能还很“傻”，智能音箱等硬件常常无法和人自然互动，手机上的App真可以听懂我说话吗？

3月18日，阮女士与同事在聊天中提起菠萝与凤梨的区别，随后无意打开百度App，就在首页看见了“菠萝和凤梨的区别”的推送。

“打开百度就是想找找答案，可没想到还没搜索，App就自动推送了答案，而此前也从未搜索过任何关于菠萝和凤梨的关键词。”据阮女士回忆，在与同事讨论时，手机并未打开手机百度App，在手机的隐私权限中也并未给百度App开放语音权限，到底百度为何如此“聪明”，她并不知道原因。

目前听懂人类说话，人工智能要经历语音识别和语义分析两个阶段，在语音识别阶段，国内相关公司已经做得相当精准，也就是所谓的将语音转化为汉字，准确率超过97%，拿科大讯飞来说，目前支持中、英、日、韩、俄等约10种语言的语音识别，讯飞输入法支持23种中国方言识别。

技术难度在语义分析阶段，需要系统根据用户数据进行智能分析，并进行精准的推荐，但国内几大人工智能公司，目前技术进步也非常快。

多位行业人士认为，就当前的技术水平而言，让人工智能听懂，提取关键词并打标签，也就是完成语音识别的难度并不大，然后在云端完成语义分析，这已经是成熟的技术。

企业回应

百度：没有能力监听电话

阿里：截至发稿，尚无回应

然而，尽管“通话监听”这个权限没有被申请，但对于麦克风权限的开启，无论安卓还是苹果，百度都可以申请用户授权。不过，百度对此解释，只有用户主动开启语音唤醒功能，才会开启麦克风，也就是说，喊小度小度，调起搜索才能开启麦克风使用权限，而且当百度App切到后台后，麦克风权限便会关掉。

请你不要比“我妈还懂我”

从外卖软件到互联 生态系统，到底这些App有没有“偷听”用户，是个“罗生门”。

尽管从技术层面来看，利用现已成熟的技术就能简单地从用户的语音里抓取关键词，并进行精准推送，这事并不难，但究竟App是否在偷听，我们依然无法下论断。

如今，互联 公司大多将上传的数据进行加密，如果想解密，不仅成本、技术门槛高，其中也存在一定法律风险，因此很难抓到“现行”。

但通过几个月的持续观察、大量的用户统计、场景复现测试，以及大数据共享的广告联盟追踪、App隐私协议探究，我们想要说明的是，无论是“偷听”“偷看”还是使用所谓的“大数据画像”，都已经在触碰用户隐私保护的底线，这也是为什么第一篇文章引发全 激烈讨论的原因。

因为，比我妈还懂我，意味着，作为个体，我已失去自由。