文 | 吕倩
来自雷锋网(leiphone-sz)的报道
这场关于手机用户信息监听的诉讼,因为被诉对象是百度,而引起广泛关注,也正如百度方面人士对雷锋网所诉——整条信息产业链上,因为百度是规模最大、用户认知最深的一环,因此用户每次都“想当然地”将“锅”甩在百度身上。
同时,百度方面概要回应称:
无论是苹果还是安卓系统,根本不可能向软件开发者提供能监听用户通话的接口或权限。
百度的 App 既没能力、也不会进行所谓的“监听通话”。
百度相关应用获取任何用户权限时,都会在安卓系统规定的合理使用范围内,弹窗提示用户是否同意授权以获得相应服务。
这场纠纷的跨时虽长,但归纳起来很简单——
2017年7月,江苏省消保委对市场上用户量较多的27款手机APP进行调查,发现普遍存在侵犯用户个人信息安全的问题。
2017年12月11日,江苏省消费者权益保护委员会就北京百度网讯科技有限公司涉嫌违法获取消费者个人信息及相关问题提起消费民事公益诉讼。
2018年1月2日,南京市中级人民法院已正式立案。
为什么约谈27款手机APP之后,单拎出百度进行训诫?
去年7月,江苏省消保委结合手机应用市场上侵犯消费者个人信息的情况,对用户较多且具有一定行业代表性的27家APP所属企业进行了调查和约谈,包括12306、爱奇艺、去哪儿旅行、腾讯视频、蜻蜓FM、百度浏览器、手机百度等。
不久后,江苏省消保委表示,大部分企业都按时提交了实质性整改方案,从删除不必要敏感权限、增加消费者提示框、提供消费者权限选择界面、完善非注册用户信息保护等方面对APP进行了优化,其中18款APP基本整改到位。
而针对于百度,江苏省消保委用“拒不整改”形容其态度,并随即请求法院依法判决北京百度网讯科技有限公司停止其相关侵权行为。
对此疑问,百度方面向雷锋网回应称,在过去的几个月里,百度与江苏省消保委已经就手机APP的隐私保护和用户权限管理机制问题进行了多轮沟通,百度也对江苏消保委方面的疑问进行了多次说明和澄清。百度表示:“我们会继续与江苏省消保委积极沟通,与消保委一起让个人信息安全得到更广泛的重视、在互联网及其他行业得到更充分的保护。”
网友的普遍反应是,如果不涉嫌侵犯隐私,百度、以及其他有相关操作的APP,为何要获取用户通讯录、短信等信息?
手机百度高级经理田彪对此向雷锋网做出相应说明,手机百度获取权限方面(上图左侧):
存储:主要是用来下载一些图片和离线看小说与视频时会用到
读取通讯录:是在社交和手机充值场景下的授权
摄像头:拍照搜索、扫码的时候使用
麦克风:用于语音搜索
短信权限:在方便用户使用登录和注册过程中自动读取短信,为用户提供便捷服务
此外,百度浏览器主要核心权限与手机百度差不多(上图右侧),只是增加读取日历以及设置日历提醒服务,方便用户使用。以及,如果用户对所授权权限仍有疑虑,是可以回到“隐私条款”选项,进行查看和更改的。
对于此次争议的核心——“监听电话”一点,田彪对雷锋网表示, 谷歌在设计安卓系统的时候,从保密用户隐私角度出发,不会开放或者设计“电话监听”这样的API接口,且百度App敏感权限均需用户授权,用户可自由关闭 。同时,田彪解释称,“电话权限是一个大的权限,包括手机识别码、直接拨打电话、通话记录等,但无法做到监听电话。手机百度获取其权限,主要用于读取手机状态(READ_PHONE_STATE),观测手机还剩多少电量之类的。”
猎豹移动安全专家李铁军表示,很少有人真的这么做,因为太容易被发现了。“这种数据监听,然后上传的行为很容易被发现。这个过程需要APP有调用录音的动作,APP代码就能识别。如果出现这种情况,手机端的安全软件就能发现,任何一个会程序逆向分析的人都能发现。”
此外,百度方面特别指出,百度手机浏览器和手机安全卫士均有一个骚扰电话拦截功能,但小米手机把这个功能翻译成了“监听电话”,一定程度上造成了大家的误解。
百度方面简单解释了黑产行业的运作流程:首先,不法分子利用运营商漏洞,非法获取用户的手机号;然后,再开发出访客手机号记录工具;最后,将工具和用户手机号等信息进行转卖。
也就是说,因为这些网页早就购买了黑产恶意代码,并植入在网站内,当你的手机处在4G网络下,只要进入网页,哪怕没有输入手机号或者注册登录,也能够被窃取信息。然后,这些不良的网站再雇佣客服,向消费者进行推销。
百度方面表示,很多上网用户通常不会记住网站域名,大多数人会选择在搜索引擎上搜关键词,从而进入网站,当收到不法分子的来电后,自然会联想到网站的入口——百度。百度方面表示对此很冤屈,“这是整个产业链的问题,但锅却由百度一个人来扛。”
指掌易移动安全专家刘苏此前在接受雷锋网采访时曾表示,市面上常见的手机,无论是安卓机还是苹果机,对获取麦克风权限的 APP 都会有明确的列表,这种应用也不在少数。在手机被 root 的情况下,可能发生窃用麦克风行为,但这只是少数,大多数手机并没有被越狱。另外一种情况是,移动终端环境下会存在系统层面的漏洞,如果被利用导致植入了木马或病毒,窃听是完全有可能的,但这也不适用于大部分手机。
如此来看,百度在主观上是没有意愿窃听用户信息,但当用户手机被恶意攻击、平台遭遇不可抗力时,消费者的隐私安全仍旧无法得到保障。
◆ ◆ ◆
推荐阅读
阅读原文查看雷锋网 「 CES2018 」专题报道