原标题：团队自编程序证实手机能偷听，安全专家：未发现“偷听”铁证

　　美团、饿了么否认存在“偷听”行为，网友们对此却不埋单，纷纷晒出自己被偷听“证据”。

　　是巧合？还是手机软件真的在“偷听”？

知乎网友分享疑似被“监听”经历

　　3月20日，澎湃新闻（www.thepaper.cn）邀请网络尖刀创始人曲子龙和他的人工智能团队做了一个测试。

　　曲子龙团队仅用了不到5个小时，通过程序员编写示例代码，模拟打造一款手机软件，安装在一部安卓系统手机中，再设置为允许该模拟软件使用手机录音权限，然后将手机屏幕锁屏。

　　结果，该款模拟手机软件成功获取到了曲子龙团队的讲话内容，并传输给后台服务器转化成文字信息。

　　曲子龙告诉澎湃新闻，经过测试，技术层面实现了APP锁屏时在后台仍可以“监听”用户讲话内容。他认为，如果将一款APP从手机后台彻底关闭，仍可以实现“监听”。

　　对此，曲子龙建议，尽量不要给非社交相关软件摄像头、相册、通讯录、语音、短信记录等相关的敏感权限，这样可以最大限度保护隐私。

　　但国内某知名反病毒软件公司一位安全技术专家认为，“偷听”从理论上可以，实际上有没有做，还需要一系列完整证据链；国内APP有没有类似的“偷听”情况，目前还没有安全研究人员发现铁证。

　　该专家表示，新闻报道中，通过聊天测试并联想到外卖APP窃听用户语音，“这种证明方法完全不科学”，存在偶合性；科学的方法应该是做软件行为分析和数据流量分析，而不是做用户行为统计。

知乎网友分享疑似被“监听”经历

　　人工智能团队自构建一款APP实现“偷听”

　　美团、饿了么深陷“偷听门”之后，又有网友纷纷举证称淘宝、菜鸟裹裹等手机APP也存在“偷听”。

　　今年3月3日，在国内知名问答社区知乎平台上，就有网友发帖称其可能也遭遇了“偷听”。其中一位网友晒出了图片称，在使用手机淘宝时，发现主页推荐了曾搜索过的化妆品之外，还推荐了玉米。该网友怀疑是手机APP监听到女友喊妈妈“你明天去买点玉米”的对话。

　　无独有偶，2018年12月28日，也有网友发帖称，其女友妈妈患脑溢血，聊天时曾谈到“雾化”，随后在使用“菜鸟裹裹”查看物流时，在“猜你喜欢”一栏中看到了医疗雾化带的推荐。

　　3月20日，网络尖刀创始人曲子龙告诉澎湃新闻，从技术的角度实现后端监听，确实是可以做到。

　　20日下午，网络尖刀人工智能团队用不到5个小时时间，自己构建了一个APP，并将此APP装载在一款安卓手机上。

　　经测试，在手机锁屏后，只要APP进程没有结束，仍然可以实现在用户无感知情况下窃听并录制用户身边音频内容，并将数据通过NLP处理方式传到服务器，用于做大数据分析。

　　NLP技术即自然语言处理技术，一种让电脑了解人类语言的技术。当前这种技术已比较成熟，即使用户日常使用的主流方言也不会对语音识别有太多影响。曲子龙解释道。

　　曲子龙介绍，目前大部分手机APP都在获取语音权限，主流机型基本都能支持，所以实现监听“门槛并不高”。

　　同时，针对APP后台“监听”可能产生的高能耗问题，曲子龙认为，“其实很容易解决，如果这个需求程序让我来写，我会把需要触发的词做个库留在APP上，用户讲话内容触发特定的词，便会唤醒这个应用开始监听及分析，这样就可以降低能耗”。

　　那么，如果将一款APP从手机后台彻底关闭，还能否实现“偷听”？

　　曲子龙认为，即便彻底从手机后台关闭了某个APP，“偷听”的可能性还是存在。

　　他打了个比方，“如果手机后台关掉了A应用，但B应用仍在后台运行，A应用注册了一个服务对外暴露出去，B应用根据它的服务名可以把A唤醒，这样就不怕服务因人工杀掉（编注：从手机后台彻底关闭）导致无法监听。”

　　另外，曲子龙还指出，部分安卓手机在出厂时就设置有默认APP获取权限白名单，“他们的APP服务很多不会被杀掉，白名单的APP想要持续监听就更容易了”。

　　专家：目前国内安全研究人员还未发现“偷听”铁证

　　为进一步了解手机APP是否会“偷听”用户，澎湃新闻又向多位计算机、网络安全领域专家进行求证。不过，他们出于一些担心，均要求匿名。

　　对于曲子龙的这个测试，国内某知名反病毒软件公司一位安全技术专家向澎湃新闻表示，整个测试没有问题，单纯的语音监听技术10多年前的手机木马就可以实现，现在多了语音识别技术。

　　该反病毒安全技术专家认为，当前的问题不在于去验证手机APP能不能实现监听，而是能否确定美团、饿了么、淘宝等手机APP存在“偷听”。前述测试，显然是无法证实的。

　　该专家还表示，新闻报道中，通过聊天测试并联想到外卖APP窃听用户语音，“这种证明方法完全不科学”，存在偶合性；科学的方法应该是做软件行为分析和数据流量分析，而不是做用户行为统计。

　　即，要证明APP在“监听”，应该对软件行为做代码级的逆向分析，从软件的底层去发现这个软件是不是有监听语音的行为；再从网络连接分析、解密，相关数据是否传输到相关软件的服务器。

　　“监听从理论上可以，实际上有没有做，这需要一系列的证据链都完整。”该专家介绍，国内APP有没有类似的“偷听”情况，目前还没有安全研究人员发现铁证。

　　如果APP并未在监听，这种高契合的用户推荐又是怎么做到的？该专家认为，这些数据可能和电商的广告联盟系统打通，当用户端被匹配了人群的各种标签，广告推送就跟标签关联上。另外，“部分输入法也可能参与了推送环节，当然也仅仅是怀疑。但要证明因果关系，难度很大”。

　　另一位安卓手机研发工程师则认为，“偷听”在技术上可行，但“操作可能很小”，因为监控语音技术成本太大，如果这么做，手机其他功能使用会有障碍。

　　他告诉澎湃新闻，一旦某一款APP开始监听，势必占用音频锁不释放。比如，当用安卓手机听音乐时，同时打开一个APP，音乐可能中断，很有可能就是这个APP占用了一下音频锁；或者回到微信却发现语音发不出去，APP监听就露馅了。

　　一位不愿具名的通讯IT专家告诉澎湃新闻，从理论上来说，装载在使用其他软件系统的手机上的app也可能实现“偷听”。但该专家同时表示，装载ios系统的手机由于App来源需要被苹果公司审核，实现后台无感知监听的门槛相对较高。

　　国内某品牌手机公司一位安全部技术人员告诉澎湃新闻，用户要培养保护自己安全隐私的意识，“安全问题和安全技术也是在不断对抗过程中，逐渐培养起来的”。

责任编辑：闫宏亮