陈丹的博客如今,App大量索要用户权限已经不足为奇,用户大多视而不见。不过,如果有人告诉你,在你不知道的时候,有App偷偷的拍照并录音上传到服务器,你还能坐得住吗?昨日,曾经爆出12306泄密事件的用户typcn在推特爆出“支付宝 Android 版隐私门”,称支付宝安卓版每隔X分钟,会在后台启动摄像头拍照,录音X秒,然后上传到服务器上,同时也会有通讯录、通话记录,附近基站和WiFi等信息。
细思极恐:偷偷拍照和录音?
同时,typcn抛出一个支付宝的APK包,称这个版本的支付宝在登录时,会发出咔擦的一声,这是支付宝在偷偷拍照时忘记关掉声音,但现在支付宝已经禁止了这个版本的登陆。另外,typcn反编译支付宝代码的过程中发现,xPrivacy看到的支付宝偷拍过程很高端:
该问题在知乎发出后,短时间内就获得了大量的跟帖,typcn的说法得到了大量用户的跟进和证实。有网友提供图片,暴露了支付宝拍照的过程。在2月9日,该用户没有使用支付宝的情况下:
“startPreview 会开启摄像头,就是你拍照之前的相机的那个预览画面。
setPreviewDisplay 是设置预览的 view,他可以设置成一个1×1像素的区域,也可以搞个透明的悬浮窗?(未测试),也可以瞬间拍完了就隐藏。”
每次启动,调用权限都+2
雷锋网总结如下:
1.有匿名用户发布自己的手机截图,称在没有任何操作的情况下,仅每打开一次支付宝,摄像头和录音的权限调用次数都会+2。
2.从权限监控日志看,确实每隔几个小时,支付宝就会发起一轮请求,每个权限都想要。
3.摄像头权限是循环获取的,只要用户拒绝就不断弹,并不清楚是做什么用途。
也有用户提供不同说法称,之所以不断调取拍照和录音功能,
“是因为支付宝开发可能是希望在实际使用摄像头或者录音的 case 之前先预授权,以免在后续正常使用时被拦截”;
不过“个人感觉支付宝这种做法欠妥,应该在实际使用的 case 下再去申请权限,这个提早授权带来的体验优化其实是有限的。”
预先申请权限并不存在?
随后这种说法被否认。一名安卓开发的从业者表示:安卓上的软件并不需要预先申请权限,当安卓手机弹出申请摄像头权限窗口时,软件已经在尝试打开摄像头了。
打个比方,安卓上的权限就像房子的一扇一扇门,这些门在房子建好的时候(软件安装成功)已经固定下来了。
一般情况下,当房子建好之后,这些门都是打开的,房子里的人(软件本身)可以随意经过这些门,进入门另一端的房间拿取东西(比如进入短信软件里询问短信数据)。
权限管理工具则给有些门上了锁,只有当房子里的人试图穿过这些门时,权限管理工具才会拦截它,如果被允许,则放行,如果被拒绝,则告诉房子里的人,你不能过去。
默认情况下,如果你确认安装,说明你允许软件在任何时候使用它声明的所有权限。所以安卓本身的机制里(Android 6.0以下),并不需要在实际使用权限时再次申请权限,不存在说软件可以提早申请自己暂时还不需要的权限。(Android 6.0全球使用率过低,不做讨论)
同时,该用户指出,除了支付宝以外,QQ也会在非活动时调用摄像头:
目前关于此事并没有定论,争论主要集中在,为什么在刷新闻、聊微信、玩游戏的时候,支付宝会不断的弹窗索要摄像头和录音的权限。
不过也有用户认为,作为使用频繁的支付工具,支付宝频繁调用摄像头和录音工具无可厚非,毕竟与钱的安全相关。此前,支付宝更新了9.0版本后,因关闭手势密码,被网友疯狂吐槽,质疑其安全性。其时,支付宝回复称,支付宝已经拥有完善的大数据风控体系来判别用户行为,“即使被盗取了密码,非本人也无法使用支付宝”。
目前支付宝并没有对此事进行回应。安卓党们,你们怎么看?
未经允许不得转载:陈丹的博客 » Android隐私门:支付宝会偷偷拍照和录音,上传到服务器?