加入收藏 | 设为首页 |

百度APP窃取用户隐私?黑客称是消协想多了

隐私 时间:2018-01-09 编辑:杏耀娱乐 浏览:
搜狐科技 文/丁丁 2017年12月11日,江苏省消费者权益保护委员会认为“手机百度”“百度浏览器”两款手机APP存在违规获取诸如“监听电话、定位、读取短彩信、读取

百度APP窃取用户隐私?黑客称是消协想多了

搜狐科技 文/丁丁

2017年12月11日,江苏省消费者权益保护委员会认为“手机百度”“百度浏览器”两款手机APP存在违规获取诸如“监听电话、定位、读取短彩信、读取联系人、修改系统设置”等各种权限,对百度提起诉讼。

百度方面对此回应称,百度APP不会、也没有能力“监听电话。百度APP敏感权限均需授权,且用户可自由关闭。百度的APP不存在未经用户同意、超合理范围获取信息。尽管安卓系统的权限授予非常复杂,但百度的基本准则是:只有在用户使用到相关功能时,才会去申请这个权限。且用户可以自由关闭已经授权开放的权限。

对此,百度也特别召开了媒体沟通会。除了重申之前的观点外,百度方面也表示,安卓系统是非常开放的,所有安卓手机厂商都可以基于安卓系统,开发定制自己机型的专属定制系统。而系统对于权限的控制是在不断演进的,早期的安卓系统只是一次性向用户列出需要的权限,没有对单个权限进行控制的能力。不管是6.0以上系统还是6.0以下系统,是否提醒用户授予APP相应的权限,主导权一般都掌握在手机厂商手里。

百度APP窃取用户隐私?黑客称是消协想多了

就用户最关心的手机APP申请相关权限涉嫌窃取隐私、通话等问题,搜狐科技也咨询了国内某匿名白帽黑客。这位黑客对搜狐科技分析称,从android权限方面来看,如果APP要在用户打电话的时候录音(大部分系统非root只能实现单向),需要android.permission.READ_PHONE_STATE以及android.permission.RECORD_AUDIO两个权限。

这两个权限手机百度和百度浏览器都有。但他们有正当理由要求这两个权限。

android.permission.READ_PHONE_STATE从字面的意思来看就是读取手机状态。在系统里,连最普通的获取IMEI都需要这个权限。这是90%以上APP都有的权限。同时,这个权限也能获取通话状态、来电去电状态等,但也只能获取到手机目前处于这个状态而并不能录音。

android.permission.RECORD_AUDIO字面意思是录音。微信、QQ等APP在使用语音功能时,就需要录音来发送语音文件。手机百度、百度浏览器有语音搜索功能,同样也需要获得这个权限才能使用语音搜索功能。如果用作通话时调用录音,Google本身源码是有限制的。但是各个厂商对这部分一般都有改动,比如有些手机厂商确实可以在通话的时候调用麦克风来进行本地的通话录音。有的手机厂商通过另外的权限能实现麦克风及听筒双向录音。

由于目前很多手机出厂时就内置了很多互联网公司的APP程序,如果这些程序成为了“系统APP”,获得了系统权限,就能够实现双向录音。

这位黑客在分析了手机百度和百度浏览器工作时行为后对搜狐科技表示,这两个APP在获得android.permission.READ_PHONE_STATE权限后,只用于读取IMEI等手机基本信息,并未发现用作监听通话状态。

在获得android.permission.RECORD_AUDIO权限后,两个APP只发现用作语音搜索和SDK相关,未发现用作通话录音。由于要实现自动通话录音需要先通过android.permission.READ_PHONE_STATE权限监听通话状态,而这两个APP并未通过这个权限监听通话状态,因此“自动通话录音”也就无从谈起。

这位黑客对搜狐科技表示,这只是个初步的分析结果,如果要深挖是否存在隐藏代码或者有没可能在云端下发这种代码,从而实现对用户隐私窃取,耗时就会很长。对于通话录音这么敏感并且严重的事情,如果百度这样的知名公司真要做,一定不会把代码放在本地让别人抓住把柄。并且,随着国家网络安全法的实施,如果涉及非法收集个人隐私,相应公司或开发者也要承担相应的法律责任。