手机"窃听风云"大调查：APP为啥要获取麦克风权限？

（原标题：隔屏有耳调查｜手机App偷听技术可行，但专家说性价比太低）

澎湃新闻记者 杨鑫倢 张宁 实习生 柳童

今年1月，网民kaikai告诉澎湃新闻记者，自己某天中午跟朋友吃饭时，聊到过单反相机，随后12时22分又在微信群中提到“单反”，结果13时就收到了京东发来的关于单反相机促销的短信。

另一位网民小饭则表示，头一天在大学寝室里和室友聊天谈论到的蓝牙音箱，第二天就出现在了淘宝“有好货”的推送流中，品牌、型号都一样，“我平时完全不关注蓝牙音箱的，所以才觉得很奇怪，突然给我推荐这个。”

近日，消费者对于手机App会不会偷听用户讲话的担忧，开始蔓延。淘宝、京东、饿了么、美团点评、今日头条、百度等多款国内主流App，普遍受到用户质疑。

虽然几乎所有互联网公司都再三强调，不存在所谓窃听行为，但每当这样的怀疑和猜测被曝出，都会引发广泛讨论。

手机“窃听风云”究竟是阴谋论还是确有其事？这些所谓的“大数据智能推荐”，是真的智能，还是窃听所得？这些智能推荐能否关闭？澎湃新闻记者就此展开调查。

国内主流App获取麦克风权限理由

App、智能音箱、电视技术上如何实现窃听

不少国内网民讲述了自己疑似被手机App窃听谈话内容的经历。

上海的韩先生也向澎湃新闻记者表示，自己去年和女友在杭州九溪散步，其间女友提到想要买一双“溯溪鞋”，而当晚手机淘宝首个推荐商品正巧也是“溯溪鞋”。“我平时不爱运动，绝不会主动搜索这类相关商品，何况是精确到这三个字？”韩先生说。

类似的情况也在国外出现。有外媒记者发表文章称，自己和朋友在杂货店询问了解之后，买了一些此前未曾听过的品牌的啤酒。15分钟后，朋友的Instagram中便出现了该品牌啤酒的广告。另一篇报道中作者提到，自己在说过“下星期的聚会需要一些花”之后，Instagram里也出现了花店的广告。

现在很多App都希望获取手机麦克风权限，这背后究竟有何用途？

澎湃新闻记者查阅了国内几家主流App获取麦克风权限的理由，比如，淘宝、京东等电商App是出于让用户方便使用语音购物或与客服语音交互的目的，微信、QQ等社交App则出于语音输入或语音转文字等目的，美团点评等生活O2O平台则是出于分享点评视频等目的。

但是，这些App会不会假借获取摄像头和麦克风权限，随时监控用户的一举一动、一言一行？

国家信息安全漏洞库（CNNVD）特聘专家、北京未来安全信息技术有限公司CEO王英键（安全圈内被称作“呆神”）告诉澎湃新闻记者，技术上来说，的确可以实现窃听，苹果系统复杂一些，调取录音权限时，苹果系统会提醒用户；安卓系统相对容易，比如在安卓平台下植入木马，获得手机更高权限，通过篡改系统，来控制麦克风，截取数据。不仅可以窃听，还可以发出位置信息，有时候看上去关机了，但实际上它还在后台运作。

不过，记者了解到，目前基本上没有App会强制用户打开麦克风权限，如果不打开依然可以正常使用App。

安全专家李铁军告诉澎湃新闻记者，除了App，手机语音助手、智能电视、智能音箱也不能排除在“监听”你的可能。

国外网络安全公司Asterix的高级安全顾问Peter Henway曾向媒体表示，从技术上讲，手机只会记录用户发出“嘿，Siri”或“OK，谷歌”这样的触发词时所说的话，但是由于它需要捕捉用户所述关键词，手机是会一直保持监听状态的。

有法律人士表示，App利用获取的上述权限对用户进行24小时不间断的“监视”、“监听”，是受到国家法律法规的明令禁止的。

窃听成本高昂，开发一个木马成本十几万元

“但窃听在实际操作过程中面临很多挑战。”王英键分析道，，无论是苹果还是安卓，从操作路径上来看，大量的录音内容需要分析才能有用，这不可能靠人来处理，那么就需要手机或者上传云端来进行，分析完关键词后再回传服务器，给用户推荐商品和信息，“如果在手机上进行，这样大规模的动作，会占用手机资源，拖累运行速度；如果上传云端，这些App都是上亿的用户量，则会产生巨大的流量，对公司来说是很大的成本。此外，还要考虑到谈话方言、噪音等干扰因素。”

而在安卓平台上，王英键还提到，如果窃听木马大范围应用，则会立即被安全厂商查杀病毒。此外，安卓8系统以后，对隐私提出更高要求，当App在后台操作时，对调用手机硬件更加规范。

王英键认为，窃听这种非法手段风险与收益并不成比例，成本非常高，比如开发一个木马的成本在十几万元左右，而最终推荐效果也并不一定有多好。

上海交通大学电子工程系无线通信研究所副教授钱良也表示：“严格意义上的实时窃听技术的确存在，但这类产品造价高昂且考虑到其特殊用途，目前在民用市场是不可能看到类似产品的。”

360安全专家也向澎湃新闻记者表示，对开发App的企业而言，这种行为会造成设备耗电量的大幅上升，用户体验严重下降，此外采集到的绝大部分都是无效数据，且体积巨大，传输、处理和存储这些数据都会带来极高的成本。因此正规App不可能利用摄像头和麦克风权限对用户进行“监视”、“监听”。

李铁军也表示，“一般情况下，手机、电视、音箱的这种监听，因为有系统沙箱隔离机制，App不会越权获取到数据。厂商目前也没有将数据交给第三方。当然，如果黑客攻击，则不好说了。”

Facebook广告部门有一位工程师Antonio García Martínez，在《连线》杂志上也曾撰文解释了为什么Facebook不能监听用户。他说了三点理由：

第一，监听用户产生的数据非常多，Facebook难负其重。

整个过程就相当于用户在持续不断地给Facebook打电话。以用户使用半天手机来计算，这一过程产生的数据仅在美国就有20PB，是Facebook每天处理数据的33倍还要多。而且，在“打电话”状态，也会影响手机的其他功能。

第二，像智能助手那样监控，Facebook很难做到。

智能语音助手都需要特定的触发词来唤醒，但Facebook没有特定的唤醒词，想从谈话中获取每一个对它有价值的关键词，需要在本地（手机上）将语音转换成文本进行识别。整个过程，就是算iPhone X，分分钟也得变成砖。

第三，用户语音数据，对广告商来说没多大价值。

京东、今日头条、饿了么、美团、百度回应

对于用户普遍关心的窃听问题，截至发稿，多家公司对澎湃新闻记者作出回应。