百度的APP能監(jiān)聽你的電話嗎？

來源：新京報 發(fā)布時間：2018-01-09瀏覽：2745次

百度的APP能監(jiān)聽你的電話嗎？

1月8日記者實測安裝百度瀏覽器時需要的授權(quán)。手機截圖

　百度的APP能監(jiān)聽你的電話嗎？

　　被指控涉嫌“監(jiān)聽電話”，百度方面回應(yīng)稱，沒有那個能力；專業(yè)人士表示，技術(shù)上可以實現(xiàn)監(jiān)聽，但很少有人這么做

　　上周，江蘇省消費者保護委員會（下稱江蘇省消保委）向百度公司提起民事訴訟，指控百度旗下APP涉嫌“監(jiān)聽電話、定位”。1月8日，百度召開媒體溝通會，再次強調(diào)旗下APP不會、也沒有能力監(jiān)聽電話，同時百度APP敏感權(quán)限均需授權(quán)，且用戶可自由關(guān)閉。

　　專業(yè)人士對新京報記者表示，只要用戶給予APP相關(guān)權(quán)限，技術(shù)上是可以做到監(jiān)聽等操作的。但也有人表示，不會有人這么做，因為很容易被發(fā)現(xiàn)。

　　不是所有安裝都會提示授權(quán)

　　上周，江蘇省消保委以手機應(yīng)用侵犯消費者個人信息，兩次約談無整改為由，向百度公司提起民事訴訟。

　　根據(jù)江蘇省消保委的說法，在百度公司最終提交的整改方案中，對手機百度、百度瀏覽器兩款A(yù)PP中“監(jiān)聽電話”、“讀取短彩信”、“讀取聯(lián)系人”等涉及消費者個人信息安全的相關(guān)權(quán)限，并未進行整改，也未明確提示消費者軟件申請獲取權(quán)限的目的、方式和范圍并供消費者選擇。

　　百度方面表示，在過去的幾個月里，百度與江蘇省消保委已經(jīng)就手機APP的隱私保護和用戶權(quán)限管理機制問題進行了多輪溝通，百度也對江蘇消保委方面的疑問進行了多次說明和澄清。百度表示：“我們會繼續(xù)與江蘇省消保委積極溝通，與消保委一起讓個人信息安全得到更廣泛的重視、在互聯(lián)網(wǎng)及其他行業(yè)得到更充分的保護。”

　　手機百度高級經(jīng)理田彪向媒體展示了一段手機百度安裝并獲取權(quán)限的視頻。視頻中，一臺恢復(fù)出廠設(shè)置的手機，在首次下載安裝和使用手機百度APP時，會彈窗提示用戶是否授予電話、位置及存儲權(quán)限。

　　當然，并不是所有安卓手機在首次下載手機百度時都會出現(xiàn)彈窗。現(xiàn)場演示環(huán)節(jié)中使用的另一款手機在下載手機百度時就沒有出現(xiàn)彈窗。田彪指出，有的系統(tǒng)會授予它認為安全的APP一些權(quán)限，安卓系統(tǒng)的權(quán)限授予非常復(fù)雜，權(quán)限授予完全取決于手機系統(tǒng)本身，而并非由APP自身判斷和決定的。

　　百度：所獲權(quán)限都有使用場景

　　江蘇消保委和百度之間一個重要的分歧點就是，手機百度、百度瀏覽器是否存在過分調(diào)用用戶數(shù)據(jù)的問題。此前，江蘇消保委表示，用戶在安裝手機百度、百度瀏覽器兩款A(yù)PP前，未被告知百度公司獲取各種權(quán)限的目的。作為搜索及瀏覽器類應(yīng)用，上述權(quán)限并非提供正常服務(wù)所必須，已超出合理的范圍。

　　過度調(diào)用用戶數(shù)據(jù)的問題由來已久，騰訊社會研究中心與DCCI互聯(lián)網(wǎng)數(shù)據(jù)中心聯(lián)合發(fā)布的《網(wǎng)絡(luò)隱私安全及網(wǎng)絡(luò)欺詐行為研究分析報告（2017年一季度）》顯示，手機APP越界獲取個人信息已經(jīng)成為網(wǎng)絡(luò)詐騙的主要源頭。高達96.6%的安卓應(yīng)用會獲取用戶手機隱私權(quán)限，而iOS應(yīng)用的這一數(shù)據(jù)也高達69.3%。越界獲取隱私權(quán)限是指手機應(yīng)用在自身功能不必須的情況下獲取用戶隱私權(quán)限的行為。

　　據(jù)百度方面介紹，目前手機百度和百度瀏覽器較為常用和敏感的權(quán)限包括存儲、獲取地理位置、讀取通訊錄、攝像頭、麥克風、短信等，這些權(quán)限都有非常明確的使用場景，也均需用戶授權(quán)后才能夠開通，開通后也可以隨時關(guān)閉。

　　比如，讀取通訊錄，是在社交和手機充值場景下的授權(quán)；提供基于位置的天氣信息、手機百度接入百度地圖等服務(wù)時，需要獲得位置權(quán)限；讀取短信授權(quán)的使用場景，是在手機錢包綁定銀行卡情況下，幫助用戶便捷讀取短信驗證碼進行登錄注冊。當用戶需要使用圖像搜索和語音搜索時，則彈窗提醒用戶授予攝像頭及麥克風權(quán)限。如果用戶還有調(diào)取通訊錄進行手機充值的使用需求，則需要通過彈窗提示，點擊授權(quán)同意APP調(diào)取通訊錄權(quán)限。

　　追問1

　　百度的兩款A(yù)PP獲取了哪些權(quán)限？

　　1月8日，新京報記者使用安卓手機安裝手機百度和百度瀏覽器APP時發(fā)現(xiàn)，手機百度開啟時要求獲取“位置權(quán)限”以及“存儲權(quán)限”，百度瀏覽器在打開頁面時除了上述兩項權(quán)限外，還要求獲取“電話狀態(tài)”權(quán)限。拒絕授予上述權(quán)限后，這兩款應(yīng)用就都無法開啟。

　　當記者允許這兩款應(yīng)用獲得位置權(quán)限及存儲權(quán)限后，兩個應(yīng)用可正常使用。但記者在手機的“應(yīng)用權(quán)限”一欄中發(fā)現(xiàn)，除經(jīng)記者同意開啟存儲和位置權(quán)限外，百度瀏覽器還自動開啟了相機權(quán)限、電話權(quán)限以及麥克風權(quán)限；在“單項權(quán)限”一欄中，其開啟的權(quán)限還包括調(diào)用攝像頭、啟用錄音、獲取瀏覽器上網(wǎng)記錄。手機百度則自動開啟了通訊錄權(quán)限和電話權(quán)限，“單項權(quán)限”中開啟的權(quán)限包括讀取本機識別碼、讀取聯(lián)系人以及應(yīng)用自動啟動等。事實上，上述權(quán)限記者均未在打開應(yīng)用時授權(quán)，屬于應(yīng)用“暗中開啟”。

　　百度方面昨日稱，有的系統(tǒng)會授予它認為安全的APP一些權(quán)限，權(quán)限授予取決于手機系統(tǒng)本身，而并非由APP自身判斷和決定。

　　相對于安卓系統(tǒng)，手機百度和百度瀏覽器兩個APP在iOS系統(tǒng)中對權(quán)限的索取則“低調(diào)”不少。用戶只要下載安裝就可立即使用，并沒有出現(xiàn)安卓環(huán)境下安裝時彈出的權(quán)限索取提示。在iOS系統(tǒng)中的“允許訪問”界面中，這兩個APP也并未自動開啟其他權(quán)限。只有當記者在使用APP中“圖片搜索”和“語音搜索”功能時，才會跳出要求開啟相應(yīng)權(quán)限的選項。

　　南洋理工大學互聯(lián)網(wǎng)相關(guān)專業(yè)人士告訴新京報記者，APP向安卓系統(tǒng)和iOS系統(tǒng)所要求的權(quán)限不同，一個主要原因是iOS系統(tǒng)使用了沙盒機制。

　　記者查閱資料發(fā)現(xiàn)，沙盒機制在計算機領(lǐng)域指一種安全機制，為運行中的程序提供隔離環(huán)境，確保應(yīng)用程序只能在為該應(yīng)用創(chuàng)建的文件夾內(nèi)讀取文件。上述專業(yè)人士稱，此前iOS系統(tǒng)曾被用戶詬病無法像安卓一樣輕松傳輸數(shù)據(jù)或?qū)崿F(xiàn)APP間跳轉(zhuǎn)，部分原因也是受限于沙盒機制的安全考慮。

　　追問2

　　手機APP能否監(jiān)聽用戶電話？

　　對于手機百度和百度瀏覽器受到的“監(jiān)聽電話”質(zhì)疑，手機百度昨日表示，“無論是蘋果還是安卓系統(tǒng)，根本不可能向應(yīng)用開發(fā)者提供能監(jiān)聽用戶電話的接口或權(quán)限。百度的手機應(yīng)用沒有能力、也從來不會申請這一權(quán)限。”

　　不過，互聯(lián)網(wǎng)安全專家劉海（化名）表示，只要用戶給予了APP相關(guān)權(quán)限，技術(shù)上是可以做到監(jiān)聽電話等操作的，至于做不做就看APP方想不想了。

　　“電話權(quán)限至少可以分為電話通訊錄、通話記錄、錄音權(quán)限以及讀取本機識別碼四種。”1月8日，北京互聯(lián)網(wǎng)從業(yè)者趙謙（化名）告訴新京報記者，“其中涉及監(jiān)聽電話的是錄音權(quán)限這一項。如果在打開電話權(quán)限的基礎(chǔ)上再啟用錄音權(quán)限，APP方從技術(shù)上是可以監(jiān)聽電話的。”

　　系統(tǒng)沒有開放接口或權(quán)限也能實現(xiàn)監(jiān)聽嗎？趙謙表示，“APP方通過錄音然后存儲錄音文件，再調(diào)文件上傳，同樣可以達到監(jiān)聽用戶通話的效果。”一名白帽黑客也對新京報記者直言“錄音和通話接口不是一回事”。

　　對于上述監(jiān)聽方法，獵豹移動安全專家李鐵軍告訴新京報記者，很少有人真的這么做。“這種數(shù)據(jù)監(jiān)聽，然后上傳的行為很容易被發(fā)現(xiàn)。這個過程需要APP有調(diào)用錄音的動作，APP代碼就能識別。如果出現(xiàn)這種情況，手機端的安全軟件就能發(fā)現(xiàn)，任何一個會程序逆向分析的人都能發(fā)現(xiàn)。”

　　趙謙還介紹稱，在安卓系統(tǒng)中，APP方獲得相應(yīng)的權(quán)限就可以拿到對應(yīng)的信息。“手機管家和應(yīng)用寶上都可以顯示權(quán)限，如果用戶不給批準，APP方PC上的內(nèi)容就顯示為空白，但用戶如果同意了（通訊錄）權(quán)限，立馬幾百個聯(lián)系人的信息就都過去了。”

　　事實上，目前大部分手機用戶都并不清楚自己開通相關(guān)權(quán)限后，將會把什么信息暴露在風險之中。

　　一家互聯(lián)網(wǎng)企業(yè)的架構(gòu)工程師舉例稱，如果用戶向APP開放相應(yīng)權(quán)限，可以讀取到一個叫做“MAC地址”的東西。MAC地址指向手機中一個負責WiFi通信的芯片，它有一個ID來標識手機獨一無二的身份，其本意是幫助手機連接WiFi信號，但它也有一個“副作用”，就是讓旁邊的WiFi基站知道了有誰在附近。“

　　追問3

　　APP是否有必要獲取那么多權(quán)限？

　　去年7月，江蘇省消保委對用戶較多且具有一定行業(yè)代表性的27家APP所屬企業(yè)進行了調(diào)查和約談，包括12306、愛奇藝、去哪兒旅行、騰訊視頻、蜻蜓FM、百度瀏覽器、手機百度等。

　　1月8日，新京報記者用安卓系統(tǒng)體驗了曾經(jīng)一同被約談的12306、去哪兒旅行、騰訊視頻、蜻蜓FM四個應(yīng)用對用戶權(quán)限的索取情況。體驗發(fā)現(xiàn)，12306、去哪兒旅行、蜻蜓FM均在開機前向記者索取了相關(guān)權(quán)限。其中，12306索取了位置、相冊、電話狀態(tài)等5項權(quán)限，去哪兒旅行要求獲取存儲權(quán)限，蜻蜓FM則要求電話權(quán)限。騰訊視頻沒有索取任何權(quán)限。

　　除了在APP打開界面“明示”的權(quán)限外，在后臺“應(yīng)用權(quán)限”列表中，記者發(fā)現(xiàn)去哪兒網(wǎng)、騰訊視頻均直接開啟了電話權(quán)限，去哪兒網(wǎng)的電話權(quán)限中包括撥打電話和讀取本機識別碼兩項權(quán)限，騰訊視頻則只有讀取本機識別碼一項權(quán)限。

　　“為什么要這么多的權(quán)限，有些應(yīng)用明明不需要。”劉海表示。

　　而北京志霖律師事務(wù)所律師、中國互聯(lián)網(wǎng)協(xié)會信用評價中心法律顧問趙占領(lǐng)認為，收集個人信息有無必要，取決于產(chǎn)品的功能和定位，“一些新聞客戶端收集用戶訪問記錄，分析用戶興趣、偏好，以便實現(xiàn)精準推薦，這并不違反必要原則”。

　　新京報記者查詢多位手機用戶的APP發(fā)現(xiàn)，大部分APP都開啟了“讀取本機識別碼”權(quán)限。公開資料顯示，許多APP需要從手機中讀取一個標識符來標識用戶，相當于在用戶未登錄的情況下讓服務(wù)器知道用戶身份，要讀取這個標識符就需要申請電話權(quán)限，這也是大部分APP需要獲取電話權(quán)限的原因。

　　需要注意的是，上述四款A(yù)PP雖然都開啟了電話權(quán)限，但均未開啟錄音權(quán)限。

　　記者梳理發(fā)現(xiàn)，在安卓系統(tǒng)手機中，應(yīng)用索取最多的幾個權(quán)限分別為“讀取本機識別碼”、“讀取已安裝應(yīng)用列表”、“讀取位置信息”、“調(diào)用攝像頭”、“懸浮窗”和“啟用錄音”六項。

　　追問4

　　用戶個人信息靠什么保護？

　　初次安裝“手機百度”后打開APP時，頁面底端的一行小字會默認勾選“已閱讀并同意手機百度《服務(wù)協(xié)議》和《隱私政策》”，如取消勾選則無法使用手機百度。

　　記者查閱了這兩份協(xié)議。《服務(wù)協(xié)議》提到，百度搜索軟件會為用戶的短信、通話記錄和通訊錄等建立索引以便用戶查找信息，但在該服務(wù)過程中用戶的信息不會被上傳。《隱私政策》中以加粗加下劃線的形式強調(diào)：數(shù)據(jù)信息采用匿名的方式。同時，會對信息采取加密處理，保證信息的安全性。該政策承諾，一般情況下不會未經(jīng)用戶同意向任何第三方共享用戶的信息。

　　一位互聯(lián)網(wǎng)從業(yè)人員向新京報記者表示，多數(shù)APP會要求用戶同意與百度《服務(wù)協(xié)議》《隱私政策》類似的授權(quán)協(xié)議，但很少有用戶會仔細閱讀協(xié)議的內(nèi)容。“仔細讀的話會發(fā)現(xiàn)，按照協(xié)議，用戶使用APP所產(chǎn)生的數(shù)據(jù)是歸APP方所有。這樣APP就‘合理合法’地獲得了獲取用戶信息的途徑。”

　　“根據(jù)相關(guān)法律法規(guī)，網(wǎng)絡(luò)服務(wù)提供者收集個人信息需要遵循正當、合法、必要原則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。”趙占領(lǐng)表示，江蘇消保委起訴百度關(guān)鍵有兩點，一是百度獲取權(quán)限、收集用戶信息是否經(jīng)過用戶同意，二是有無必要收集這些個人信息。

　　趙占領(lǐng)認為，手機百度用戶“已閱讀并同意手機百度《服務(wù)協(xié)議》和《隱私政策》”可以認為是收集個人信息經(jīng)過了用戶的同意，“只是部分個人信息沒有單獨通過彈窗的方式獲得授權(quán)，但是目前法律沒有明確規(guī)定獲得用戶同意的方式，實踐中絕大多數(shù)的應(yīng)用都是通過用戶協(xié)議約定的方式進行”。

　　據(jù)趙占領(lǐng)介紹，我國目前已經(jīng)制定了多部與個人信息保護相關(guān)的法律；江蘇消保委起訴百度作為涉及個人信息保護的公益訴訟，將有助于社會各界更好地厘清個人信息的范圍以及收集個人信息的法律邊界，有助于各界增強個人信息保護的意識。

　　新京報記者 馬婧 羅亦丹 朱玥怡