微信隐私安全知识大全(后台读相册侵隐私)
10月8日下午,一则“微信/QQ /淘宝等多款App在后台反复读取用户相册”的微博引爆热搜。博主@Hackl0us称,发现微信App在用户未主动激活的情况下数次读取相册,每次读取时间40秒至1分钟,且QQ、淘宝等App也存在后台频繁读取用户相册的行为。
当晚,微信方面回应称,该功能系为方便用户快速发图做准备,仅在手机本地完成,并承诺在最新版本中取消该功能。不过,@Hackl0us对此并不买账,认为微信方面“避重就轻”,仍旧质疑微信此举侵犯隐私。
多位专家告诉南都·隐私护卫队,微信的做法在技术上是成立的,此举是为用户开发的一个便捷功能,并不会导致用户数据泄露。同时,App的自动读取功能并不会分辨不同时间段,它会随时进行。还有专家表示,微信处于后台时读取相册并非用户操作需要,没有经过用户的明示同意,属于过度收集用户信息。
微信1 淘宝后台频繁读取用户相册引隐私质疑后台频繁读取用户相册引隐私质疑
南都·隐私护卫队注意到,更新到iOS15后,隐私设置中多了一项功能——记录App活动。据介绍页面显示,该功能“可以记录App何时访问了用户的位置或麦克风等数据,同时了解App或用户在App内访问的网站何时联系了域”,并存储记录结果。
@Hackl0us写道,他的朋友使用上述功能后,“发现微信在用户未主动激活App的情况下,在后台数次读取用户相册,每次读取时间长达40秒至1分钟不等。”
该博主介绍,发生上述情况的运行状态和权限设置为:用户前台未主动运行;iOS 默认开启后台应用数据刷新,未手动改变过状态;上次使用微信后,直接上划返回主屏幕,没有彻底“杀死”后台。
为此,南都·隐私护卫队进行了实测,发现iOS 15的系统下,微信的确会在后台多次读取用户相册信息,但由于测试时间较短,暂未发现读取规律。
南都·隐私护卫队实测页面
还有网友评论表示,QQ、淘宝等多款App也存在类似频繁读取用户相册的行为。
“照片是用户隐私,每次调取用户隐私时用户并不知情(从读取时间来看,用户在睡觉的时候它也在读)。如果仅仅是为了扫描是否添加了新图片,也没有必要如此过度请求。” @Hackl0us认为,微信此举还会占用系统内存、严重消耗电池续航。
针对上述爆料,微信方面在8日晚间通过媒体回应称,iOS系统为App开发者提供相册更新通知标准能力,相册发生内容更新时会通知到App,提醒App可以提前做准备,App的该准备行为会被记录成读取系统相册。
“当用户授权微信可以读取“系统相册权限”的前提后,为便于用户在微信聊天中按‘ ’时可以快速发图,微信使用了该系统能力,使用户发送图片体验更快速流畅。”微信方面强调,上述行为均仅在手机本地完成,最新版本中将取消对该系统能力的使用,优化快速发图功能。
截至发稿前,QQ、淘宝方面尚未作出回应。
2
微信称为方便用户,是否必要?
针对微信方面的回应,@Hackl0us并不认同。“用户在凌晨睡觉的时候,相册根本不可能发生更新。更不可能点击了 号发送图片。为什么这种时候也要扫描相册?腾讯微信团队的意思是用户梦游自拍吗?”
对此,北京汉华飞天信安科技有限公司总经理彭根认为,微信的做法在技术上是成立的,持续、频繁地读取用户相册,能让用户在微信聊天中发送图片更加快速流畅。然而,App的自动读取功能并不会分辨不同时间段,“它是随时进行的”。
“软件无法辨认白天黑夜,也不知道用户何时发图片,因此随时都可能读取相册。如果我这一秒截了一张图,但微信每一分钟才读取一次相册,那么这一分钟内我就无法使用这个功能,它得保持实时性,这才会不分时间段地、频繁读取相册。”他说道。
独立电信分析师付亮也持类似观点。他对南都·隐私护卫队表示,微信此举是为用户开发了一个便捷功能,且在本地执行,未将图片传到后台服务器,并不会导致用户数据泄露。
而盘古团队的技术总监陈业炫直言,问题的重点不在于是不是后台读取,“如果用户给一个App授权了‘所有照片’权限,该App就随时可以读、上传、即使不在后台,也可以对用户无感知。”
彭根认为,该问题的关键在于微信是否将获取到的信息泄露出去,如果只是在本地进行,那就只是在本地为用户提供的一种方便性服务,这种操作是合理的。
“用户在使用微信时赋予过其访问相册的权限,微信也对用户做了这方面的告知,如果用户完全不允许应用读取信息,那很多App都无法使用了。事实上,有些功能的使用必然伴随着一些权利的牺牲——如用户想要在打人名时更方便,就得授权读取通讯录,这也是用户自己的选择。”他说。
此外,@Hackl0us还对微信的回应提出质疑,大量App都可以通过PhotoKit提供的其他接口读取相册,微信是否有必要在“牺牲了续航、内存、使用体验为代价的前提下,换取这一个功能?”
彭根坦言,微信频繁读取相册导致内存占用、电池消耗的后果是存在的,但并没有那么严重。他认为,研发者会更考虑投入产出比,是否要为了节约一点电而投入大量成本做出改善值得商榷。“就技术而言,如果我已经做到了95分,与其花大力气争取98分,不如将这份精力投入到开发一个更有价值的功能中去。”
同时,他指出当下的手机的内存越来越大,操作系统不断优化,在硬件条件已经很好的前提下,如果软件不去应用这些资源,那么它的优势也无法发挥出来。
@Hackl0us还建议,将相册权限限制在“选中的照片”或“无”的状态,不要选择“所有照片”,关闭“后台 App 自动刷新”,并保证App仅拥有最小权限,可以很大程度上限制或阻止App对相册的读取。
多位技术专家告诉南都·隐私护卫队,“后台App自动刷新”作为几乎每一个App都在运用的功能,关闭它们不仅工作量大、体验感变差,对阻止或限制App读取相册信息也并无帮助。
但限制App只拥有最小权限对保护隐私是有一定效果的。“如定位可分为模糊定位和精准定位,我点外卖需要精准定位送达到家,但查看天气只需要模糊定位确定省市就可以,这种权限设置是有意义的。”彭根说。
App自主读取相册3 侵犯隐私吗?隐私吗?
值得注意的是,虽然已授予微信读取“所有照片”的权限,但处于后台状态时,用户并未直接操作微信,此时微信在用户不知情的情况下频繁读取相册是否侵犯用户个人信息权益或隐私权益呢?
“App存在三种情况,一种是完全关闭状态,一种是正在使用状态,还有一种是处于后台状态。”付亮直言,处于后台、前台的App实际上在读取权限上是一样的,区别只在于处于后台的App用户明面上看不见。
“这些功能都是为了让用户更方便地使用App,但‘方便’与‘隐私被侵犯’之间的度在哪儿,可能还需要慢慢摸索。企业有必要不断地提升用户体验感,但在出现此类让用户感觉隐私被侵犯的情况时,就要适当调整其中的平衡,比如通过技术改进尽量减少因此产生的系统内存占用和电池续航消耗。”他强调。
谈及微信此举是否侵犯隐私,彭根直言,微信的声明是可以接受的,只要应用能保证用户数据不泄露,那这就是一个很好的功能,在个人信息保护方面并无隐患。“总而言之,我认为这个话题有点过度解读了,微信声明表示最新版本会取消该功能,其实挺可惜的。”
北京策略律师事务所执行主任庞理鹏则认为,微信在后台读取相册,属于处理个人信息,需遵循知情同意原则。“(值得质疑的是)它后台访问是不是违反了这个原则?”
他表示,处理个人信息必须遵循合法正当必要等原则。微信处于后台状态时读取相册并非用户的操作需要,缺乏处理个人信息的必要条件,没有经过用户的明示同意,属于过度收集用户信息。
采写:南都记者 尤一炜 实习生 樊文扬
,免责声明:本文仅代表文章作者的个人观点,与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或承诺,请读者仅作参考,并自行核实相关内容。文章投诉邮箱:anhduc.ph@yahoo.com