石榴星球

QQ登录

只需一步,快速开始

微信扫码登录

使用验证码登录

电子银行

事件持续发酵,在知乎也引起广泛讨论,一些 ...

  • 1
用过 Android 的朋友也知道,每当手机安装新程序时,都必须同意一堆密密麻麻的权限需求,人们往往会担心其背后的安全隐患。这种担心,放到一些涉及个人隐私与金钱交易的应用上(如微信、支付宝),尤为甚之。昨天,网友 typcn 在其推特上宣称,支付宝安卓版存在偷偷拍摄与录音的可能性,“每隔X分钟(服务器指定)会在后台开启摄像头拍照,录音X秒,然后上传到服务器上。”

2000.jpg

今天 typcn 陆续发推,指出支付宝存在偷拍可能的技术细节:“开启相机预览,设置相机预览回调,然后从相机预览的画面里面拿一帧,这样不会调用 takePhoto ,在部分强制开启拍照声音的手机上,也不会出现声音,因为是在预览缓冲中拿的图像。”根据他的描述,支付宝可能存在的偷拍行为是通过动态加载APK来实现的,很难采集到加载时留下的拍照代码。

2001.jpg
菲菲爱巴布

写了 161 篇文章,拥有财富 596,被 3 人关注

转播转播 分享分享 分享淘帖
回复

使用道具

您需要登录后才可以回帖 登录 | 注册
B Color Link Quote Code Smilies
菲菲爱巴布

发表于 2016-2-24 00:10:59

Google 在去年 5 月 I/O 大会便发布代号为“Marshmallow(棉花糖)”的 Android 6.0 版本,新系统在应用授权上与 iOS 一样,当 App 请求地理位置、摄像头、麦克风、联系人等权限时,会单独弹出对话框询问用户是否愿意授权。来自 Google 本月初的数据,截止至2016年2月1日,运行 Android 6.0 系统的设备比例才达到1.2%。也就是说,因可更新的设备有限,在可预料的很长一段时间内,目前绝大多数的安卓用户是吃不上棉花糖的。遇到类似情况,你只能自求多福。

2005.jpg

Anyway,这真的不是在为苹果打广告,我用的也是 Android 手机,我也是可能的潜在受害者。既然支付宝已表态上述现象纯属造谣,除了说一些“提高警惕”、“不要从奇怪商店下载应用”的空泛话语,
回复 支持 反对

使用道具 举报

菲菲爱巴布

发表于 2016-2-24 00:09:42

2004.jpg
不到半小时,typcn 迅速对支付宝的声明也给出五点回应。
回复 支持 反对

使用道具 举报

菲菲爱巴布

发表于 2016-2-24 00:08:52

下午3时29分,支付宝在其官微回应此次“安卓隐私门”事件。“关于支付宝Android版本申请调用权限的说明”一文提到五点:

1、如果在支付宝里要给好友发送一条语音,就需要用到录音的权限。支付宝只会根据功能的需求申请权限,没有也不会去侵犯、泄露用户的隐私信息。

2006.jpg

2、网传的“支付宝会悄悄偷拍与录音,然后上传至服务器”的说法纯属毫无根据的造谣。申请摄像头权限并不等于实际启动摄像头。支付宝绝对不会“在用户不知情的情况下,后台启动摄像头拍照或录音。”

3、在 Android 6.0 以下,系统没有提供标准的权限提示和检查接口,因此采用提前触发权限的方式,这种设置,会形成帖子里出现的启动时申请摄像头和录音权限的情况。未来的版本会优化体验,避免用户误解。

4、不管产品功能怎么变,支付宝为用户提供简单、便捷、可信赖的服务体验的初心,永远不变。

5、欢迎大家给支付宝提出有益的建议,一起帮助提升用户体验。同时,对于恶意造谣中伤,支付宝也将采取法律手段维护自身的合法权益。
回复 支持 反对

使用道具 举报

菲菲爱巴布

发表于 2016-2-24 00:07:58

我用自己已更新至 Android 5.1.1 版本的 Sony Xperia Z3 尝试了这个实验,确实存在镜头互斥的情况,然而并不会触发手电筒灯灭。这或许跟系统的应用授权设置,以及我经常在 Google Play 更新的习惯有关。

2003.jpg
回复 支持 反对

使用道具 举报

菲菲爱巴布

发表于 2016-2-24 00:07:15

事件持续发酵,在知乎也引起广泛讨论,一些网友从不同方面验证着 typcn 的说法,如网友 东仙队长 提出一个间接支持的证据:在其调试过内核的 Nexus 5x 手机中,存在只要调用摄像头就可能卡死甚至重启的bug。但使用一段时间后,即使不启动与相机相关的应用,手机有时用着用着也可能出现卡死。后来卸载了支付宝就一切正常了。

2002.png

网友 Comzyh 则用自己的安卓手机设计了一个实验。在完全关闭支付宝的状态下,先打开手电筒,再打开支付宝,然后发现灯灭了。再试着打开手电筒,然而打开微信扫一扫,发现灯又灭了。这表明,无论是打开手电筒或者微信扫一扫,同样需要调用摄像头的权限,两者是互斥访问的。在有充分应用授权的情况下,后者的权限要求会覆盖前者。而打开支付宝也出现灯灭,很有可能是打开支护宝的这一动作也会启动摄像头。
回复 支持 反对

使用道具 举报

推荐阅读更多精彩内容>