网易科技讯7月4日消息,据国外媒体Gizmodo报道,研究人员称,你的手机没有偷听你,但有可能在监视你在手机上的一举一动。
围绕智能手机的阴谋论不会消失:很多人相信他们的手机在偷听他们说话,以便向他们精准推送广告。Vice最近刊文称“你的手机是在偷听,这并不是妄想症“。它得出的结论是基于作者的5天实验,他在实验期间有意在他的手机面前谈到“回到大学”和“需要廉价的衬衫”,之后他在Facebook上看到了衬衫和大学课程方面的广告。
美国东北大学的一些计算机科学学者对于人们谈论这种说法感到非常厌烦,于是他们决定做一项严格的研究来解决这个问题。在过去的一年中,艾琳·潘(Elleen Pan)、任晶晶(Jingjing Ren音译)、玛蒂娜·林多弗(Martina Lindorfer)、克里斯托·威尔逊(Christo Wilson)和大卫·乔夫内斯(David Choffnes)进行了一项实验,研究了Android上超过1.7万个热门应用,以确定当中是否有应用在秘密地利用手机的麦克风来获取音频。这些应用既包括那些属于Facebook的应用,也包括8000多个向Facebook传送信息的应用。
对不起,阴谋论者:他们没有发现任何证据表明应用在没有提示的情况下会突然启用麦克风或发送音频。就像优秀的科学家一样,他们拒绝说他们的研究确切无误地证明你的手机没有在偷听你说话,但他们没有发现任何一个这样的例子。相反,他们发现了另一种令人不安的做法:应用记录手机的屏幕,并将相关信息发送给第三方。
在研究人员所研究的17260个应用中,有超过9000个获得了访问摄像头和麦克风的许可,因此有可能无意中听到手机用户谈论他们需要猫砂,或者他们有多喜欢某一品牌的冰淇淋。研究人员同时使用10部Android手机,利用一个自动程序与这些应用进行交互,然后分析所产生的流量。(这项研究的一个限制是,手机上的自动程序不能做人类能做的事情,比如创建用户名和密码,然后在应用上登录到一个账号上。)他们特意观察是否有媒体文件被发送出去,尤其是有没有被发送到意想不到的第三方。
研究人员让这些手机运行数千个应用,看当中是否有应用秘密激活麦克风来进行偷听。
他们开始看到的奇怪做法是,记录人们在应用中所做的事情的屏幕截图和视频录像被发送到第三方域名。例如,其中一部手机使用了GoPuff的应用(一款专为突然想吃垃圾食品的人开发的配送应用),与该应用的互动被录制了下来,然后发送到一个与移动分析公司Appsee关联的域名。该视频包含可让你在上面输入个人信息的屏幕——这个例子是输入邮区编号。
这并不完全出乎意料:Appsee在其网站上自豪地吹嘘它能够记录用户在应用中所做的事情。令研究人员感到困扰的是,用户并不知道他们的行为被记录下来,GoPuff的隐私政策中并没有披露这一点。在研究人员与GoPuff取得联系后,该公司在政策中增加了一项披露,承认Appsee可能会获得用户个人识别信息(PII)。“作为一项额外的预防措施,我们还从最新的Android和iOS版本中撤出了Appsee的软件开发工具包(SDK)。”GoPuff的发言人通过电子邮件表示。
与此同时,Appsee则声称是GoPuff的问题。Appsee的首席执行官扎希·布斯巴(Zahi Boussiba)表示,他的公司的服务条款“明确规定我们的客户必须披露第三方技术的使用情况,我们的条款禁止客户利用Appsee跟踪任何的个人数据。”他说,他们的客户可以屏蔽其应用的敏感部分,来防止Appsee进行录像。他还指出,许多Appsee的竞争对手也为iOS和Android应用提供“全会话回放技术”。
“在这个情况中,Appsee的技术似乎被客户滥用了,我们的服务条款被违反了。”布斯巴在一封电子邮件中说,“在注意到这个问题以后,我们立即禁用了被提及应用的跟踪功能,并从我们的服务器上清楚了所有的记录数据。”
不过,谷歌的一位发言人说,Appsee并不是完全没有责任的。“我们一直非常感谢研究社区努力帮助改善 *** 隐私和安全措施。”谷歌发言人称,“在审查了研究人员的发现后,我们确定AppSee服务的一部分可能会使一些开发人员面临违反Google Play政策的风险。我们正与他们密切合作,以帮助开发人员恰当地向他们的应用的最终用户解释该SDK的功能。”
Google Play政策说,你必须向用户披露他们的数据将会被如何收集。
GoPuff使用Appsee来帮助优化其应用的性能,所以后者的记录行为它并不是没有预料到的,但让人担忧的是,第三方可以在不通知你的情况下记录你的手机屏幕。这意味着不法分子很轻易就能从你的手机中窃取信息。应用交互的屏幕截图或视频可以捕捉到私密信息、个人信息甚至是正被输入的密码,因为许多应用会即时显示输入的字母,然后才将其变成黑色星号。
应用交互的屏幕截图或视频可以捕捉到私密信息、个人信息甚至是正被输入的密码,因为许多应用会即时显示输入的字母,然后才将其变成黑色星号。
换句话说,除非智能手机制造商在你的屏幕被记录下来的时候通知你,或者给你提供关闭该功能的选项,否则你又有了一个要担心的问题。研究人员将于下月在巴塞罗那的隐私增强技术大会上展示他们的研究成果。
研究人员之所以不敢保证你的手机没有偷偷地听你说话,部分因为他们的研究没有涵盖一些使用场景。他们的手机是由一个自动程序操作的,而不是真人操作的,所以他们可能不会像有血有肉的用户那样触发应用开启摄像头。另外,手机在一个受控的环境中,而不是游荡在外部世界:在研究的最初几个月,那些手机放置在东北大学学生实验室里的学生附近,因此会被周围的对话环绕,但手机制造了许多噪音,因为应用在持续不断地被使用,最终,它们被转移到了一个橱柜里。(如果研究人员再做一次实验,他们会在手机旁边的壁橱里循环播放播客。)还有一种可能性:应用将对话录音转换成文本以后再发送出去,因此研究人员可能会看不到对话的录音。所以说,阴谋论还没有被完全扼杀。
人们对他们的手机的偏执妄想程度是可以理解的。毕竟,我们几乎任何时候都随身携带着它,它有无数个传感器,能够监控我们的一举一动。然而,你看到的广告精准得可怕,几乎肯定不是手机偷听你的结果;那是根据通过应用捕捉到的你的线上线下行为信息定向投放的,而且你并不像你自己认为的那么独特。广告商知道你在线上谈论些什么,因为其他像你这样的人也在谈同样的东西,买同样的东西。
“我们没有看到任何证据表明人们的谈话被秘密记录下来。”论文作者之一大卫·乔夫内斯指出,“而人们似乎不清楚的是,在日常生活中,还有很多其他的追踪活动没有涉及到你手机的摄像头或麦克风,这些活动也同样能够让第三方全面地了解你。”
稿源:网易科技,封面源自 *** ;
Atlassian解决了其Jira Seraph软件中的一个严重漏洞,该漏洞编号为CVE-2022-0540(CVSS 评分 9.9),未经身份验证的攻击者可以利用该漏洞绕过身份验证。威胁参与者可以通过向易受攻击的软件发送特制的HTTP 请求来触发漏洞。 该漏洞会对Jira软件多版本产生影响,比如...
在俄乌冲突爆发后的一个月时间里,许多组织机构纷纷颁布了针对俄罗斯的制裁。但是对于开源社区来说,将制裁的范围无限扩大,显然并不是声援乌克兰的最佳途径。开放源码倡议(Open Source Initiative)组织指出:尽管大多数软件开发者只是在运行时显示反战或亲乌克兰的信息,但还是有个别项目的维护者...
欧洲议会周四投票决定成立一个新的 “调查委员会”,调查针对欧洲成员国获取和使用Pegasus(飞马)手机间谍软件的指控。议员们基本上投票赞成设立该委员会,该委员会将调查欧盟27个成员国使用Pegasus和其他监控间谍软件的情况。 调查委员会允许立法者调查可能违反欧洲法律的行为。欧洲议会在一份声明中说...
隐私和安全成为了 Play Store 的更高优选项。Google 近期封杀第三方通话录音应用之外,还引入了“data safety”(数据安全)部分,要求开发人员提供更多关于他们收集的任何用户数据及其背后目的的信息。现在,Google 公开了 2021 年关于 Play Store 安全的统计数据...
微软最近对Windows Defender的排除权限进行了更新,没有管理员权限就无法查看排除的文件夹和文件。这是一个重要的变化,因为威胁者往往会利用这一信息在这种被排除的目录中提供恶意软件的载荷,以绕过防御者的扫描。 然而,这可能无法阻止ZeroFox最近发现的一个名为Kraken的新僵尸网络。这...
一位安全研究员在上周末的自由和开源软件开发者欧洲会议(FOSDEM)上围绕缓解像Spectre和Meltdown这样的处理器漏洞发表演讲,所提出的方式力求让性能成本可以忽略不计。 Cyberus科技公司的Sebastian Eydam在2022年FOSDEM会议上发言,谈到有可能在几乎没有性能成本...