2018年11月中旬,上海的孙女士在和同事闲聊时,提到想喝CoCo奶茶,没想到打卡饿了么App就在推荐商家首位看见了CoCo奶茶。让孙女士疑惑的是,自己之前从未在饿了么买过CoCo奶茶,“此前也没有使用任何手机App搜索过CoCo奶茶的相关信息。”
《IT时报》记者用了3个多月的时间,通过模拟用户使用场景,对安卓手机、苹果手机、苹果平板电脑上的“饿了么app”和“美团外卖app”进行了多轮测试。从测试情况来看,在随后数分钟到数小时的时间里,出现相关推荐的概率高达60%-70%。
今年3月25日,南都隐私护卫队发了一篇题为《还用偷听你说话?App根据喜好推广告,连"看"都不用"看"》的文章,文章中,南都隐私护卫队对一些现在流行的APP进行了隐私测试,其中还还包括微信。
前段时间爆出了一些“隐私测试”类新闻,身边很多朋友纷纷表示由于担心隐私被“窃听”、被“监控”,对使用手机APP有了心理阴影。很多的APP我们都可用可不用,但微信,还真是没办法不用。
01 聊天被偷听,不是第一次听说了。
聊天记录被偷听,上个世纪就有了,并非什么新鲜话题。只不过当时并不是因为商业原因,而是技术缺陷:聊天软件们还没意识到需要给自己做通信加密。
在零几年那会,MSN还是即时聊天领袖,还在和QQ抢夺企业白领间的市场。老板发愁员工上班天天开着QQ聊私事,网管发现通过网络抓包解包就能看到员工的聊天记录。这个发现可就乱了套了,大家不敢在单位随便用IM聊天,更有某些网管软件还把能向老板呈现员工的聊天记录作为卖点向公司推荐。
之后,QQ开始对聊天内容进行加密,通过网络监听看不到聊天记录了。这时的网管软件只能对QQ端口进行封禁,企业管理者既要让员工用QQ沟通工作,又要限制员工在上班期间私聊QQ,便继续在公司里传递聊QQ会被监控的感觉。最终,当年的上班族脑子里都有一个认识:聊天记录会被偷看。
转眼进入10年,腾讯因为“学习”了太多互联网产业,把其他互联网公司逼得无路可走,惹了众怒。等到QQ大战360事件爆发时,网上就出现各种嘲讽QQ的段子:
“360试图派人攻击腾讯的服务器,不过腾讯由于安装了360而幸免于难。360员工正在QQ群里研讨下一步攻击计划,却被QQ工程师监听到了聊天内容。”
这虽然只是段子不是事实,但段子揪起了大家心里的不安全感,以前是网管能看见,现在网管看不到了,聊天服务器旁边的维护人员是不是能看到?就算他们看不到,产品经理、开发工程师、马化腾是不是也能看到?
再往后,互联网进入了移动时代,微信腾空而出。微信认识到保护用户隐私的重要性,将不保存聊天记录数据作为它的一个特色,很多公司同事已经是QQ好友,还会和你加上微信,特意告诉你“用这个聊天不会被网管发现”。张小龙也很给力,很多人千呼万唤微信增加会员保存聊天记录的功能,微信也表示坚持保护用户隐私的原则。但随着微信增加了广告,广告越来越精准,就又带来了上面说的微信偷看聊天记录的猜疑。
聊天记录会被偷看,已成为一种常态的心理担忧。
02 精准广告需要偷听聊天记录吗?
再说回我们担心的事情吧,当吃瓜群众还在为腾讯会不会偷看自己的聊天记录、发现自己身无分文而担心时,业内人士给出的看法是:
没必要。
现在,各种APP通过我们提供的授权,从我们手机的各种传感器里收集到各种“合法信息”,经过后台的大数据分析,已经足够分析出我们的一举一动,给出合理的广告推荐。
而监听用户聊天记录这种侵犯用户隐私的行为,实施成本高,法律风险大,互联网公司怎么会干这种高风险低收益的行为呢?
例如,腾讯广告投放的基本逻辑是基于用户群体定向属性,广告主可选择把广告投放给他们设定的目标人群。通常投放的人群非常广,因此很容易出现用户收到的广告“恰好”和自己的聊天内容、浏览内容相似的巧合情况。3-5月是清明、五一的旅游旺季,又是日本樱花季,在这个时间节点,首先平台上旅游类广告/日本相关广告的投放量会比较大;其次,大众在这个时间点也更容易在聊天中提及旅游、樱花、日本等相关内容,这样巧合情况发生的概率会大大增加,从而被用户误解为广告的投放是基于用户的聊天内容。
腾讯没必要看着你的聊天记录,微信只需要知道这个手机属于什么用户群体就足够了。
03 只有赤身裸体,才能保证安全…吗?
有没有偷听,只有企业知道,而对于企业,这又很难自证清白。关于聊天软件是否存在偷看行为,此事无法证伪,且已经和聊天工具无关,成了一个心理判断。更糟糕的是,随着大数据精准广告越来越多越来越准,大家总能撞上聊天内容和广告相符的情况,就算事实摆在面前,再说微信不偷听,自己都不相信。
工作生活已经足够艰难了,拿起手机想看看资讯聊聊天,还要面临着隐私泄漏的威胁,真累。不管是不是捕风捉影,我们心里已经不能放心使用现在的聊天软件,想要和别人说点私密话,还能不能找到“此间更无六耳”的聊天环境了?
当然有了,秘迹同学向你隆重介绍——澡堂,又名“温泉”、“桑拿”、“洗浴城”,饭后休闲好去处,商业洽谈好场所。赤身裸体,我们不用担心设备窃听对话,才能够让人足够放心的聊天。只是令人感叹,聊天软件的诞生,本是为了让两端的用户可以方便快捷的交流,但在各种”窃听风云“之下,我们却不敢在聊天工具面前坦诚相待……
可是不泡澡堂子,就没法愉快的聊天了吗?比起在澡堂里面对面的聊天,使用聊天软件实质上是在我们的交流之间增加了很多过程,包括通讯、身份鉴权、服务器。虽然你不一定相信,但是这些过程其实都是有手段去防止窃听的:
在通讯过程将明文传播改为SSL加密传输,就可以杜绝在通讯中被窃听,网管就看不到你的聊天记录。
SSL是一种国际标准的加密及身份认证通信协议,你用的浏览器就支持此协议。SSL(Secure Sockets Layer)最初是由美国Netscape公司研究出来的,后来成为了Internet网上安全通讯与交易的标准。SSL协议使用通讯双方的客户证书以及CA根证书,允许客户/服务器应用以一种不能被偷听的方式通讯,在通讯双方间建立起了一条安全的、可信任的通讯通道。它具备以下基本特征:信息保密性、信息完整性、相互鉴定。 主要用于提高应用程序之间数据的安全系数。SSL协议的整个概念可以被总结为:一个保证任何安装了安全套接字的客户和服务器间事务安全的协议,它涉及所有TC/IP应用程序。
提高身份鉴权安全程度,准确识别每个用户的真实性,就能防止黑客冒充用户进行窃听。
身份鉴别有很多改善手段,如:密码复杂性混有大、小写字母、数字和特殊字符,口令周期;鉴别信息加密传输;使用动态口令、数字证书、生物信息识别;使用两种以上的识别措施。
采用端到端加密技术,就可以让服务器无法解密聊天记录,防止工程师在服务器器端偷听。
端到端加密允许数据在从源点到终点的传输过程中始终以密文形式存在。采用端到端加密(又称脱线加密或包加密),消息在被传输时到达终点之前不进行解密,因为消息在整个传输过程中均受到保护,所以即使有节点被损坏也不会使消息泄露。
但如果所有的加密手段都是由聊天软件提供,加解密的钥匙都在聊天软件手里,怎样确保聊天软件不偷听呢?
通过第三方端到端加密工具就可以解决这一问题。在聊天内容交给聊天软件之前,先加好密,聊天软件只能接触到密文,没有接触密钥,就无法解密得到明文的聊天内容,只有对方可以通过第三方端到端加密工具解开聊天内容。在此期间,第三方端到端加密工具无需联网,解密的密钥也不在网上传递,从而避免了任何一方能窃听用户聊天的可能。
从十几年前的MSN时代,就有这种软件需求,但因为操作太过复杂,而不易推广。现在好了,使用秘迹悄悄话,只需要获得一个随机的昵称,添加好友就可以给好友发送只有他能查看的安全聊天内容。在iOS手机上,可以用悄悄话键盘直接在IM里输入加密后的内容,在安卓手机上,可以通过任务栏打开秘迹悄悄话浮窗,就能把聊天内容变成密文。
当然,这样传输的密文一个字就都会变成超长的文章,悄悄话会联网把密文传递给服务器,转换成短链接让传输内容更有可读性,这是可选的,把秘迹的网络访问权限关掉一样可以用。
要是还有朋友问你,咱俩聊天的内容不会被别人监听吧,你可以用户悄悄话放心的告诉他“此间更无六耳”。