谁在偷看你的 iPhone 相册？只需 3 个操作就让流氓 App 无处藏身

2021 年 10 月 10 日 少数派

10 月 8 日，一条有关于微信的热搜 #微信在后台反复读取用户相册# 引发了不小的话题，一位用户利用 iOS / iPadOS 15 自带的「记录 App 活动」和应用「隐私洞见」发现微信会在未主动使用的情况下后台扫描用户的相册。这也让不少人担心自己的照片会被用于跟踪，甚至有可能会被意外泄露。

虽然微信也于当晚通过新浪科技作出了回应，但我们也可以在自己的 iDevice 上查看已安装的 App 是如何使用自己数据的，也就是通过之前提到的 iOS / iPadOS 15 自带的「记录 App 活动」功能进行查阅，但它目前有一个小问题——不够直观。

Apple 官方还未上线的 App 隐私活动查看功能，来自 Apple Newsroom

虽然，WWDC 上提到「记录 App 活动」这个功能在稍后的 iOS / iPadOS 版本中将提供可视化图表，但是截至 iOS / iPadOS 15.1 beta 3 此功能仍未上线。这个功能目前已经可以导出纯粹的 json 格式，但 json 不利于普通用户进行数据分析，所以我们仍需借助「隐私洞见」才能进行可视化分析。

1. 打开和存储「记录 App 活动」

在运行 iOS 或者 iPadOS 15 的 iOS 设备和 iPadOS 设备上，前往「设置 > 隐私 > 记录 App 活动」，并打开「记录 App 活动」右侧的开关。此时，你的设备会立即开始记录各个 app 的活动，你可以随时选择存储，设备会记录近 7 日内的各类隐私数据的 app 活动，包括相册、位置、麦克风、摄像头等等访问数据，还有这些 app 访问的网络 IP 或者域名。

打开后，下方会出现「存储 App 活动」的按钮。点击这个按钮，iOS 会将目前已经记录的活动保存成一个文件，并弹出分享菜单（这个过程可能会花上一点时间）。

2. 把隐私访问数据导入「隐私洞见」

安装「隐私洞见」之后，在「设置 > 隐私 > 记录 App 活动」中点击「存储 App 活动」，此时在弹出的共享菜单中选择「导入到隐私洞见」，在弹出的窗口中点击「导入」。在这个窗口中，还可以添加一些标注，可以酌情添加。

点击「导入」之后，所有数据都会导入这个 app。「隐私洞见」也会自动打开，显示提示「已导入」。此时点击「查看」按钮，即可查看本次存储的隐私活动数据。

要注意的是，目前 iOS 只能记录 7 天的 app 活动，因此，为了能够持续获得隐私报告，用户需要每 7 天将 App 活动报告导入到「隐私洞见」一次。

3. 查看具体 app 的隐私访问数据

由于在 iOS 隐私报告中并不会出现 app 的具体名称，而是以标识符的形式呈现，「隐私洞见」通常会调用 iTunes API 访问 App Store 自动识别这些标识符；但如果没有自动识别，我们也可以手动对这些标识符进行识别，从而能够更清晰地看到这些 app 的真实名称。

以「Picsew」为例，我们点击「com.sugarmo.ScrollClip」后，点击「尝试识别」按钮，然后点击「我知道此应用的国家/地区」，在列表中选择你购买（获取）这个 app 的商店所在的国家 / 地区（在这里是「中国大陆」），也可以下拉进行搜索。此后，重新回到 app 列表，就可以看到这款 app 的图标、名称与开发者。

在 1.3 版本的「隐私洞见」中，你还可以设置这款 app 默认读取的 App Store 国家或地区，分为「首选」和「备选」，最大程度保证列表中的每一款 app 都可以自动识别。相关设置在「隐私洞见 > 设置 > iTunes API」中。

每个 app 的数据页都会显示一个总览，包括橙色的数字（即访问具体隐私项目，比如相册、摄像头、位置、麦克风等等的总次数）以及蓝色的数字（即访问网络活动的总条数）。点击下方「记录」一栏中的「访问记录」和「网络活动」可以分别查看两项记录的具体数据。

隐私数据访问记录

在「访问记录」中，我们可以见到某款 app 在什么时间做了什么事情。如果点进去，还可以看到它访问这项数据的具体情况，包括开始、结束与持续的时间；此外，还可以点击右上角的「All」对数据进行筛选。

以「支付宝」为例，2021 年 10 月 8 日早上 8:19，它调用了我的摄像头，持续时间为 1 秒。当时我正在扫码开单车，所以这项活动完全在我的意料之内。

相比之下，「 微信」的活动则有点出人意料。目前我 iPhone 上的微信处于登出的状态，平常也不会打开使用，不过，我还是可以看到，2021 年 10 月 8 日下午 9:39，微信曾请求了我的定位，时间长达 10s；同一时间还访问了我的相册，时间长达 44s。

微信 10 月 8 日通过新浪科技作出了回应，相关话题曾冲到微博热搜榜第 2 名。回应指出，「当用户授权微信可以读取『系统相册权限』的前提后，为便于用户在微信聊天中按『+』时可以快速发图，微信使用了该系统能力，使用户发送图片体验更快速流畅。上述行为均仅在手机本地完成，最新版本中将取消对该系统能力的使用，优化快速发图功能。」

然而，我对此还是持怀疑态度：我以为微信快速发图这个功能，是我点击「+」号的时候才对我的相册做读取操作；其实逻辑上来说，微信也并不需要在用户相册每次更新的时候读取数据。退一万步来说，就算相册更新的时候微信需要读取数据，它也不需要读取用户的当前位置数据；更不需要在用户已经登出的情况下读取任何数据。

至于该功能如何「优化」，还要待微信官方推出更新后进行测试才能知晓。

网络活动数据

在「网络活动」中，可以看到某款 app 在什么时间访问了哪些 IP 地址或者域名。以「飞书」为例，它在 2021 年 10 月 8 日下午 1:16 访问了某网站 4,254 次。该网站是飞书的官方网站，这一活动很可能是完全正常的。

▍iOS 的权限管理建议

数据本身是冰冷的，它还是需要用户的解读。有些时候，app 访问隐私数据与网站是正常之举，我们无需担心；但是有些时候，它们的行为明显不太正常，这才需要使用类似「隐私洞见」的应用程序配合 iOS 的权限记录来进行分析。针对某些 app 的不太正常的隐私数据访问活动，你可以采取的行动包括：

关闭（或者部分关闭）app 的隐私数据访问权限。前往「设置 > 隐私」，可见到许多隐私项目，可以一一点进去进行自定义设置，可以选择打开或者关闭某些 app 的开关。特别地，针对照片访问，我们可以选择让某些 app 只访问相册中你选择的图片与视频。
关闭 app 后台刷新。在「设置 > 通用 > App 后台刷新」中，可以选择关闭部分 app 的后台刷新。这样，在你清理掉这个 app 的后台之后（即在 App 切换器中上划退出这个 app），它就会停止后台活动，即使有权限也无法访问你的数据。关闭后台刷新也不会影响即时聊天软件的消息推送。
善用系统级别的分享菜单。如果你还是担心某些 app 读取照片、文件等个人数据，还可以直接关闭它们访问这些数据的权限。如需发送照片或者文件，可以在「照片」或者「文件」app 中使用系统级的分享菜单，把想要的图片或者文件发送到这些 app 中。这将创建这个文件的一份拷贝，它只用于你所分享到的 app，而不会泄露其他的照片和文件，也（得益于 APFS 文件系统的特性）不会占用额外的设备存储空间。
卸载（而不是删除）app。iOS 提供卸载（而不是删除）app 的功能，可以在保留 app 用户数据的同时删除 app 本体的代码与文件，在需要时可以随时从 App Store 下载。在「设置 > 通用 > iPhone 存储空间」（也可能是「iPad 存储空间」或者「iPod 存储空间」）中，当 app 列表加载完成后，点击进入 app 空间使用详情页面，点击「卸载 App」（蓝色文字）。这样一来，app 也无法在后台访问任何隐私数据。

▍写在最后

iOS 丰富的隐私访问权选项为用户提供了比较全面的自定义权力，而 iOS 15 加入的这项新功能，更是为用户提供了透明而充实的隐私访问数据。这让用户对于各款 app 的活动情况了如指掌，也因此能够更好地通过各种手段，最大限度地防止某些流氓 app 侵犯隐私。

因此，我们很高兴看到 iOS 继 Android 之后，为用户提供了这一了解个人隐私数据情况的渠道，期待这一功能得到进一步的完善，以至于无需借助第三方工具进行数据统计与分析；也希望「科技向善」不仅仅是一句口号 —— 而是要各大科技与互联网公司拿出实际行动与具体措施，捍卫个人数据隐私这项用户的基本权利。

你可以在 App Store 下载「隐私洞见」，应用免费，且无内购。