媒體記者耗時3個月測試,美團、餓了麽是否在「偷聽」用戶講話?

媒體記者耗時3個月測試,美團、餓了麽是否在「偷聽」用戶講話?

本文來源:IT時報(微信id:vittimes)

記者: 李丹琦、郝俊慧

「我的命,我自己操盤」,這是《竊聽風雲2》中的經典台詞,但現實生活中,我們可能連自己手機的麥克風都操盤不了。

你遇到過這樣的情況嗎?剛說了想吃什麼,手機裏就蹦出了它的推薦;剛說了要買什麼,就出現了廣告。

可是,手機怎麽知道你剛剛說了什麼呢?

一位讀者2018年11月的投訴引起了記者的注意,他懷疑外賣App在「偷聽」自己說話。

隨後,《IT時報》記者耗時3個多月的時間,通過模擬用戶使用場景,對安卓手機、蘋果手機、蘋果平板電腦上的餓了麽和美團外賣進行多輪測試。

從測試情況來看,在隨後數分鐘到數小時的時間裡,出現相關推薦的機率高達60%-70%。這個結果,有些驚人。

對此,餓了麽和美團回應:不存在「偷聽」!

  【我知道你昨天晚上都幹了啥】監控你的手機很容易,安裝淘寶app就行
  在淘寶京東搜索,打開拼多多居然推薦同款商品?大數據下我們裸奔多徹底!

3月14日晚,記者更新了最新iOS版美團外賣、餓了麽,它們都不再索取麥克風許可權,不過安卓版裏的錄音許可權依然存在。

網友遭遇:餓了麽在「偷聽」我嗎?

2018年11月中旬,上海的孫女士在和同事閒聊時提到想喝CoCo奶茶,在打開餓了麽App時,在推薦商家首位看見了CoCo奶茶。

讓孫女士疑惑的是,自己之前從未在餓了麽買過CoCo奶茶,在她手機後台,同時打開了淘寶、微信、知乎、微博等多個App。

「此前也沒有使用任何手機App,搜索過CoCo奶茶的相關信息。」

無獨有偶,北京一位網友燃玉(化名)在2018年11月14日晚上8點左右,跟朋友說想吃鰻魚飯,1分鐘後打開支付寶上的餓了麽應用,推薦位頂部恰巧顯示著一家鰻魚飯的外賣店,此時距離他上次下單鰻魚飯相隔23天。

媒體記者耗時3個月測試,美團、餓了麽是否在「偷聽」用戶講話?

為了再次驗證這一現象是否純屬巧合,次日中午,燃玉自行對著手機進行了一輪測試。

在沒有打開應用的情況下,他大聲說想吃披薩,隨後才打開了支付寶裏的餓了麽應用,在推薦位首頁中出現了一家披薩店,「這家店的披薩我曾經點過,但也應該是半個月前。」

媒體記者耗時3個月測試,美團、餓了麽是否在「偷聽」用戶講話?

燃玉使用的手機型號是小米MIX2,系統版本為MIUI9.6,在他的手機上,包括支付寶在內的大多數應用都有錄音許可權,且這一許可權在安裝時就已經預設啟用。

「連續兩次都遇到了同樣的情況,難道是支付寶或者餓了麽在偷聽我說話?」燃玉猜測。

12月15日,燃玉將自己遇到的情況第一時間發布在了微博中。根據微博後的154條評論來看,與燃玉有類似經歷懷疑App「偷聽」的人數占六分之一。

記者實測

孫女士和燃玉到底是杞人憂天還是確有其事?從2018年11月到2019年3月,《IT時報》記者用了3個多月的時間,通過模擬用戶使用場景,對安卓手機、蘋果手機、蘋果平板電腦上的餓了麽和美團外賣進行了多輪測試。

第一次測試:餓了麽準確度80%

2018年11月19日,《IT時報》記者以兩款蘋果手機為測試工具進行了測試。

首先,打開餓了麽App和美團外賣App,確認前三屏推薦商家,然後關掉螢幕(兩款App應仍在後台運行),隨後兩名記者以聊天的形式提到,中午要吃日式料理(為了保證測試公平,記者選了一類從未點過或搜索過的飯食)。

兩分鐘之後,再次進入餓了麽,首屏第二推薦位出現一家「**屋日式料理」。蹊蹺的是,兩分鐘後,當記者再次打開頁面,這家店又神奇地消失了,而原先第一位和第三位的商家卻都沒有變。

這是巧合嗎?關掉螢幕後,兩位記者繼續聊著日本料理,6分鐘後再次打開餓了麽,這家神奇的「日式料理店」又出現了,只是這次位置下降到了第七位。

再次關掉,兩分鐘後再次打開,同樣的事情發生了,這家店又消失了,而其他推薦商家基本保持沒變。

緊接著,記者又以港式料理、茶餐廳為主題開始聊天。同樣的現象再次出現,10分鐘後,一家「××廣東腸粉」和一家知名港式連鎖店出現在首屏推薦位,兩分鐘後,這兩家店又「神秘消失」了。

在大概1個多小時的時間裡,記者進行了多次測試,餓了麽出現同類現象的機率大概在80%左右,準確度非常高。

其中一家被精準提到的門店,雖然在第一天沒有出現,卻在第二天出現在「品質優選」頻道。美團外賣則基本沒出現類似情況。

測試中記者也發現,餓了麽和美團外賣並沒有被蘋果手機授權打開麥克風,但同一體系內的天貓、微信的麥克風都在開啟狀態。

第二天,記者將天貓、微信的麥克風許可權都取消,再次進行測試,相關情況沒有出現。

多輪測試後,餓了麽下降 美團上升

為了獲得更準確的測試結果,在接下來的3個月中,記者在不同場景、不同時間段進行了數十次測試,並將測試設備擴展到iPhone、安卓手機和iPad。

以3月9日11:57開啟的一輪測試為例,在以「我想點一個涼皮」為關鍵詞重復多次之後,一家名為「涼皮先生」的店鋪出現在了蘋果手機美團外賣App首頁推薦商家的第20位,但同樣在刷新之後,這家「涼皮先生」外賣店消失不見了。

記者當即撥打這家涼皮先生店鋪的電話,對方表示,當天的確在美團外賣上開啟了店鋪推廣,但並沒有刻意刷新曝光率。

媒體記者耗時3個月測試,美團、餓了麽是否在「偷聽」用戶講話?

此前,記者曾以「今夜燒烤小龍蝦」「黃燜雞米飯」「塔哈爾新疆菜」和「元寶餃子」作為關鍵詞,分別在2018年12月20日、12月29日、12月30日以及2019年1月3日,對蘋果和安卓版的美團外賣App進行了相同測試,以上四次測試中均出現了與關鍵詞一致的結果。

綜合所有測試結果,精準推薦和同類推薦出現的機率超過70%。

但不同的是,第一次測試同類情況比較多見的餓了麽,在今年1月1日以後,此類現象基本消失。

但原本情況並不明顯的美團外賣,態勢卻有上升之勢。

餓了麽、美團回應:不存在「偷聽」

到底這種推薦店鋪的出現,是什麼原因呢?

餓了麽相關人士表示,所謂「監聽用戶日常對話並做信息分析」,是一種無端猜測。

餓了麽既沒有做類似的產品設置,也不具備相關技術條件,餓了麽嚴格保護用戶隱私,任何必要的信息采集都會在取得用戶事先同意的前提下進行,在合法合規的範圍內使用。

美團人士則回應稱,有關「根據麥克風收錄的語音關鍵詞為點外賣的用戶做推薦」的行為並不存在,美團外賣只會在獲得用戶語音使用授權,且用戶主動發起美團外賣App內的語音輸入行為時,才會使用麥克風。

此外,美團外賣僅會在用戶表達了明確需求信息、進行主動查詢後,才會進行相關推薦輸出。

專家測試

沒使用時有數據上傳,無法確定是什麼信息

那麽,到底是巧合,還是確實這些外賣App在使用麥克風「偷聽」用戶?

3月13日,《IT時報》記者來到上海軟件測評中心,對兩款App進行數據包的抓取測試。

媒體記者耗時3個月測試,美團、餓了麽是否在「偷聽」用戶講話?

在數據抓取過程中,由於餓了麽App使用了開發者設定的證書綁定技術,導致非開發人員無法使用Charles等抓包工具抓取餓了麽App的數據包。

但從美團外賣App的抓包結果來看,在測試的一段時間內,抓包工具中抓取到了近400個與美團外賣相關且大小不一的數據包。

這其中也包含在安靜的環境中,美團外賣App產生的少量數據包。

「我們抓的這些包,就是打開App操作時,手機和伺服器之間通信的各種數據,」上海軟件測評中心技術人員表示,如果App偷聽的情況真實存在,那麽就隱藏在這些數據包中。

但難點在於,如何在大量數據中分辨出哪些是客戶端與App之間正常的請求數據、哪些是App用於收集用戶語音信息的數據。

該技術人員還表示,即便是分辨出了數據包的信息,也不排除軟件開發者在數據包內用內部的加密方式,對語音數據進行二次加密的可能。

由於分辨數據包需要花費大量的時間,所以短期內無法獲得對數據包進行分析後的結果。

美團對此表示,美團外賣App在退出切換過程中,有可能在後台同步App性能數據(如系統穩定性數據、圖片載入成功率等),以便完善提升用戶體驗,同步內容不涉及任何用戶個人信息。

是否「偷聽」 業內觀點不一

此外,在獲得了麥克風許可權的前提下,一款App可以通過另一款App獲得信息嗎?

國內知名白帽子公司KEEN GeekPwn實驗室宋宇昊認為,目前這一技術已經完全成熟,且有一條共享資源的傳輸鏈路。

「如果某App具有麥克風的訪問許可權,理論上,此款聊天App可以監聽周圍環境的聲音。」

「在此過程中,聊天App可以將語音輸入的代碼嵌在其App內部,用於將人類的語言轉換成文字,並上傳到服務端。服務端將這些文本進行處理後,與對應的用戶進行綁定。」

「如果說兩個App之間有業務的合作,那麽他們將可以共享這項資源,」宋宇昊表示,「按現在的網速和機器性能,這波操作可以認為是實時完成的。」

然而,儘管這一情形在技術上可以實現,但宋宇昊認為,這並不代表相關App已經進行了這樣的操作。

騰訊手機管家安全專家楊啟波對此表示也認同,「有麥克風許可權,不一定就會偷聽用戶說話。」

楊啟波表示,儘管麥克風「偷聽」還很難確定,但出現如此巧合,極有可能是App在利用其他渠道獲取的大數據進行測算。

「比如根據你當前所處的位置、經常光顧的餐廳、之前的搜索習慣等等數據來預測你的潛在需求。」

「現在的大數據智能推薦平台已經可以通過多方面來運算,比如某些短視頻App,可能會根據你1~2個小時候刷新短視頻的習慣、 停留時長……來推斷你的興趣範圍等。」

另一家數據公司負責人則表示,外賣App 推送相關的店鋪有兩方面可能,一是推薦系統的冷啟動機制,即雖然用戶沒有在App上搜索或者點擊過,但推薦系統會根據用戶所在的區域、年齡層次、時間段等大範圍數據來做推薦。

但也不排除確實有些App會利用麥克風許可權,對訂餐、店鋪等語音信息進行獲取。

指掌易科技相關技術負責人覺得,出現類似情況純屬巧合。

「在國內監管日趨嚴格、對個人信息安全保護重視程度日益加強的背景下,無論從業務本身還是法律範疇來看,監聽用戶對話並不是一個明智的選擇。」

「這麽做只會給企業經營帶來非常大的風險,得不償失。所以基本可以排除某個App自動監聽的可能。」

記者手記:沒有答案的「巧合」 

經過3個多月的測試,對於外賣App是否在「偷聽」用戶說話,答案依然是未知的。

如果說是「巧合」,那麽巧合的次數未免太多了些。

為了避免出現因搜索、輸入等非語音方式造成數據被讀取,後期測試的App都是重新安裝過的,甚至對某些設備做了刷機處理,而選擇測試的,也都是此前從來沒有點過,也沒有在手機中留下痕跡的菜系。

因此,很難解釋為什麼會在測試中突然出現相關店鋪,而更難解釋的是,再度刷新後,其他店鋪依然沒變,只有這家店鋪消失了。

但如果不是「巧合」,從現有的技術測試和業內人士的回應來看,似乎通過麥克風「偷聽」是一件吃力不討好的事,企業不太可能做。

可是,有「被偷聽」疑問的並非只有孫女士和燃玉,涉及的App也不只是外賣。

媒體記者耗時3個月測試,美團、餓了麽是否在「偷聽」用戶講話?

在社交網站上搜索「App偷聽」的關鍵字,類似案例不勝枚舉。

比如,知乎網友「米可」和朋友聊到單位的富貴竹花瓶,當天晚些時候便在淘寶上看到了富貴竹相關的店鋪推廣;

知乎網友「不想起床」在睡覺之前給寶寶講古埃及文明,隔天便在淘寶上收到了金字塔擺件和木乃伊擺件的推送;

還有人表示跟家人對話說要去超市買牙線,晚上打開京東,在推薦裏就看到了牙線的推薦等等……

身邊的同事也有過剛和家人聊了銀行貸款,接著就在今日頭條上看到網貸平台和銀行消費貸廣告的情況。

然而,無論覺得如何不對勁,這些巧合都沒有答案。

但另一個巧合是,今年1月開始,陸陸續續有大量App更改了自己的隱私政策,隨著國內《網絡安全法》收緊,歐盟《通用數據保護條例》(簡稱GDPR)給谷歌等互聯網巨頭開出罰單,對於用戶的個人信息獲取、App許可權的索取,中國的互聯網公司們明顯變得謹慎許多。

也正是今年1月之後,餓了麽上再沒有同類現象在測試中被發現。

  【我知道你昨天晚上都幹了啥】監控你的手機很容易,安裝淘寶app就行
  在淘寶京東搜索,打開拼多多居然推薦同款商品?大數據下我們裸奔多徹底!
熱門書籍》美、中開戰的起點: 既有的強權,應該如何對面崛起中的強權?川普時代的美國,應該對中國採取什麼樣的態度?中國與美國,是否終需一戰?