中國消費者報報道(記者武曉莉) 9月12日晚，記者與人聊天時，說到了畢業(yè)后去高校就業(yè)的話題。過了一會兒，對方的小紅書上就被推薦了“去高校工作的利與弊”的文章。他并不吃驚地對記者說：“我的手機肯定是被偷聽了?剛說完就推薦了，這種情況已經(jīng)不是第一次了。”

　　偷聽、自啟動、剪切板讀取……在今年的國家網(wǎng)絡(luò)安全宣傳周上，中國電子技術(shù)標準化研究院信息安全研究中心審查部總監(jiān)何延哲對記者表示：“老百姓舉報的問題越來越專業(yè)，雖然對我們的工作來說是一種挑戰(zhàn)，但這種挑戰(zhàn)讓我們覺得很欣慰，這是非?？上驳?。”

　　此前，國家市場監(jiān)督管理總局、中央網(wǎng)絡(luò)信息化辦公室、工業(yè)和信息化部、公安部等部門聯(lián)合開展APP違法違規(guī)收集使用個人信息專項治理。隨著治理工作的深入，APP偷聽等話題也開始引發(fā)熱議。

　　對于普通用戶來說，他們非常想了解使用APP到底可不可能被偷聽。日前，APP專項治理工作組的專家首次從技術(shù)層面對此進行了全面的解讀。

　　最新版安卓和蘋果系統(tǒng)無法偷聽

　　感覺自己被偷聽已經(jīng)不是一個新鮮話題了。針對網(wǎng)友對APP存在偷聽日常談話的質(zhì)疑，全國信息安全標準化技術(shù)委員會、中國消費者協(xié)會、中國互聯(lián)網(wǎng)協(xié)會、中國網(wǎng)絡(luò)空間安全協(xié)會成立APP專項治理工作組，組織專家從偷聽的可行性、性價比等方面進行了探討，以幫助消費者切實有效地提升個人信息保護意識和能力。

　　APP專項治理工作組專家鄧舒認為，APP要實現(xiàn)偷聽有三種方式：靜默狀態(tài)錄音、側(cè)信道還原和突破系統(tǒng)權(quán)限。

　　靜默錄音是指APP在不通知用戶的情況下，通過移動終端系統(tǒng)提供的錄音功能實現(xiàn)后臺靜默錄音，從而達到偷聽目的。消費者感覺最多的也是這種情況，即用戶授權(quán)APP使用錄音權(quán)限后可能出現(xiàn)的情況。

　　但鄧舒指出，最新的安卓和蘋果手機操作系統(tǒng)都已經(jīng)從系統(tǒng)層面對在用戶無感情況下實現(xiàn)偷聽采取了限制機制，因此APP進行隱蔽偷聽是很困難的。限制后，Android9及以上版本手機里的APP，在后臺運行時無法訪問麥克風(fēng)。只有打開前臺應(yīng)用或通過前臺服務(wù)，才能進行錄音，而這兩種方式都會在手機屏幕上有足夠的提示，用戶都會感知到。

　　鄧舒還指出，Android9以下版本的手機由于沒有限制機制，APP是可以使用麥克風(fēng)偷聽的。因此，用戶應(yīng)更新安卓操作系統(tǒng)到最新版本。

　　相比安卓系統(tǒng)，蘋果iOS系統(tǒng)本身就對獲取用戶隱私數(shù)據(jù)做了足夠的限制，因此從系統(tǒng)層面避免了惡意偷聽的可能性。蘋果手機的APP申請后臺錄音等操作時，必須經(jīng)過用戶授權(quán)。即便授權(quán)后，APP第一次錄音或后臺錄音超過8分鐘時，系統(tǒng)也會彈窗提示用戶。而蘋果官方要求APP開發(fā)者在開發(fā)過程中就要申明權(quán)限。

　　記者發(fā)現(xiàn)，在蘋果手機上，有“播放/暫停”按鈕的APP，如果要調(diào)用錄音功能，必須通過界面才能啟動，無法從后臺操作。

　　側(cè)信道還原偷聽正確率高達90%

　　還有一種偷聽方式并不是直接偷取語音。鄧舒指出，側(cè)信道技術(shù)還原是指在用戶不知情的情況下，通過手機中的其他傳感器來獲取數(shù)據(jù)，再利用深度學(xué)習(xí)等技術(shù)，將數(shù)據(jù)恢復(fù)成語音數(shù)據(jù)。今年，浙江大學(xué)、多倫多大學(xué)、麥吉爾大學(xué)團隊共同發(fā)表了一項關(guān)于手機竊聽的研究成果：APP可以在用戶毫不知情的情況下，利用智能手機內(nèi)置的加速度計傳感器竊聽，理論上的識別正確率高達90%。

　　這就是最近比較熱門的名為“加速度計偷聽”攻擊方式，即基于深度學(xué)習(xí)加速度傳感器信號的新型“側(cè)信道偷聽”攻擊。原理是利用揚聲器發(fā)出的聲音震動信號、加速器數(shù)據(jù)，轉(zhuǎn)換為語音的工作流。鄧舒指出，加速度計等傳感器并不受操作系統(tǒng)的權(quán)限控制，且任何APP都可申請使用，因此是可實現(xiàn)的偷聽方式。但由于這種技術(shù)門檻高，需要深度學(xué)習(xí)模型的建立、訓(xùn)練以及排除環(huán)境干擾因素影響等，因此在非實驗室環(huán)境下很難被有效使用。也就是說，盡管是可行的，但用戶也不必過于擔(dān)心。

　　突破系統(tǒng)權(quán)限實現(xiàn)偷聽確有可能

　　在網(wǎng)絡(luò)上，可以找到宣稱能夠提供電話監(jiān)聽、環(huán)境監(jiān)聽、電話呼叫與VoIP錄音等“間諜”功能的APP。鄧舒以一款國外的APP為例，說明有些APP可以在非越獄的安卓手機和越獄后的蘋果手機中安裝，達到偷聽的目的。

　　鄧舒指出，這類APP主要是通過突破手機操作系統(tǒng)限制，繞開系統(tǒng)提供的函數(shù)，直接調(diào)用硬件功能，以實現(xiàn)錄音、拍照等目的。要做到這一點需要兩個條件：一是手機廠商對APP開放特殊權(quán)限;二是利用系統(tǒng)漏洞、安裝惡意程序等方式。但無論哪種方式，難度及成本都非常高。

　　而“間諜”APP的售賣和運營都屬于違法行為，APP開發(fā)者、運營者、使用者都將面臨被追究法律責(zé)任的巨大風(fēng)險。

　　鄧舒認為，偷聽雖然在技術(shù)上有可行性，但技術(shù)門檻、商業(yè)成本和法律風(fēng)險都很高，因此，如果只是基于廣告營銷、定向推送等日常運營的目的，APP運營者基本不會去做。

　　鄧舒指出，用戶之所以常常會有被偷聽的感覺，大概率是諸如“大數(shù)據(jù)畫像”“標簽共享”“精準推送”等技術(shù)導(dǎo)致的結(jié)果。但偷聽的風(fēng)險依然存在，還有未知的技術(shù)和機制需要進一步研究。

　　多種方式有效防止智能手機偷聽

　　偷聽即便是極小概率事件，也是用戶非常擔(dān)心的重大隱私保護問題。因此，鄧舒建議用戶采取措施，有效防止偷聽。一是更新手機操作系統(tǒng)到最新版本;二是如非必要，不授權(quán)長期開啟麥克風(fēng)、攝像頭等權(quán)限，可選擇采取一次一授權(quán)等方式;三是通過手機操作系統(tǒng)的權(quán)限管理等功能一次性關(guān)閉麥克風(fēng)、攝像頭等權(quán)限，如APP在合理的場景下需要開啟時再單獨授權(quán);四是如果APP強制要求開啟“麥克風(fēng)、攝像頭”等權(quán)限，否則不讓使用瀏覽等基本功能，或不讓使用與上述權(quán)限無關(guān)的其他功能，則不要使用該APP，還可向“APP個人信息舉報”公眾號進行舉報。

　　對于智能手機操作系統(tǒng)開發(fā)商和手機廠商來說，一是要進一步完善透明化機制，防止惡意APP在用戶不知情時濫用系統(tǒng)權(quán)限;二是完善手機軟硬件安全機制設(shè)計，提升系統(tǒng)安全性和缺陷利用難度(如側(cè)信道)，避免被惡意利用;三是主動跟蹤關(guān)注系統(tǒng)漏洞信息，及時發(fā)布安全補丁，并提醒用戶更新。

　　談及偷聽、自啟動等曾被網(wǎng)友熱議的問題，何延哲表示，近些年，通過網(wǎng)絡(luò)安全宣傳周等活動的宣傳科普，老百姓的舉報越來越專業(yè)，這也順應(yīng)了“網(wǎng)絡(luò)安全靠人民”的國家網(wǎng)絡(luò)安全周的主題。