1989生活分享网从十月份开始,下半年购物季就拉开了帷幕。作为一个购物季扎堆的半年,不知道你有没有注意到这样的一个现象:我们彼此之间互相交流买买买、一起吐槽各路平台与商家套路的时候总是穿杂着一个话题—— 「XX 肯定在偷听我们说话,它广告推送的就是我们那天讨论的」。实际上,这是一个老生常谈的话题。抛开双十一这个特定的时间点,即便是在其他时候我们也能够听到类似的吐槽。
一说到「偷听」,人们马上就会想到隔墙有耳,两只耳朵竖起来的状态。过往的那些不美好的人生经验就会随之浮现并不断提醒自己提高警惕性。这种源自内心深处的不安让我们感到害怕。在马斯洛的需求层次理论当中,安全的需要是仅次于生理的。所以我们很自然地就会给予高度的关注。
荣格与共时性,图片来自维基百科
1920 年代,瑞士心理学家荣格提出了「共时性」的概念。荣格认为:
这些表面上无因果关系的事件之间有着非因果性、有意义的联系,这些联系通常取决于人的主观经验。人总是对巧合印象深刻。
不过,有时候仔细的考量一下,似乎广告推送的也并不总是那么准。这种「偷听」会不会又是一种巧合呢?就是说,App 推送的内容与我们工作与生活中遇到的一些事情恰巧重叠在一起,我们根据自身的人生经验将他们联系到了一起。我们所在意地精准推送又会不会像荣格的共时性中讲的那样?
那么,这些被吐槽的平台到底是否在偷听我们说话?或者更进一步讲,它们是否通过偷听我们说话,进而进行分析并精准广告推送呢?
通过手机「偷听」说话,进行精准推送的可能性有多大?
就单纯的技术而言,手机偷听其实并不是一件很难的事情,但同时,它也并不是一件很容易的事情。究竟通过「偷听」来进行精准的广告推送的可能性有多大,我们逐一往下看。
一般来讲手机悄悄地进行录音通常包括两种情况:一种是(用户授权后的)后台静默监听,一种是突破系统权限进行监听。
对于前者,App 通过静默在后台进行偷听的技术难度大,手机自带的操作系统从系统层面上杜绝了这种偷听的可能性。目前,主流的安卓手机后台运行的 App 是无法访问麦克风,而 iOS 系统下 App 要想在后台进行录音等操作必须获得用户的授权,同时 Apple 也要求开发者在开发过程中要声明权限。
对于后者,破系统权限进行监听的做法风险极大。而且这种做法本身已经具备了「间谍软件」的特征。大部分推送广告的商家其实做的还是「正规」生意,为了推送那么一点点的广告,冒如此之大的风险有点划不来。从风险和收益上来讲,后者也不太现实。现实中 root/越狱手机的用户已经越发地小众了。
其实不管怎样偷听,只要是「听」势必就要启动手机的麦克风。某一个特定的 App 进行后台偷听,可能耗电量算不了什么,但是 App 组团偷听对于电量的消耗是一个可以察觉的过程,而且还会导致手机可以察觉的「温暖」。以 iOS 15 为例,只要麦克风启动,手机屏幕上方都会有所显示。显然,要想偷听不被发现是不可能的。
iOS 上调用麦克风时,手机上会予以显示;Android 上在使用麦克风的时候会根据用户设置是否询问
即便是可以,除了麦克风之外,偷听来的数据也需要与服务器端进行通信,从而进一步对于偷听的数据进行存储与处理。这一过程对于手机的电量也是一个考验。这就导致了,即便 App 想静默,但架不住耗电量。
也许有人会讲,可以利用现在的语音转文字技术。把交谈的内容,通过语音转文字的方法,把文字信息上传到服务器上。然而就目前而言,再成熟的语音转文字技术还是不能实现 100% 的转换,而且口语当中充斥着嗯嗯啊啊这样的语气词以及很多的方言词汇。这些也都是让服务器头疼的。即便是交由 AI 来做,按照现在 AI 的发展水平处理好也是比较难的。
那么,换用语音关键词来识别是否可以呢?答案同样也是否定的。在日常使用智能设备的时候,我们通常会使用一些口令,比如「Hey,Siri」「小爱同学」等等,来唤起设备执行一些指令。而这些涉及这些唤醒指令的处理上,设备通常都是由一些独立地硬件来处理。通常这些硬件并不会向开发者开放。
所以想通过语音转文字来实现精准推送,往往是事与愿违,效果很差。
再一个,从商业角度风险与收益来看,App 厂商对用户进行偷听显然是风险与收益是不对等的。为了推送那么一点点广告,而采用偷听这么大的阵仗,实在是风险过高。何况,比起这个来讲,还有更「划算地」处理方法。
除了手机的麦克风之外,也有不少人关注或者提出了不通过麦克风等录音设备获取语音数据的方式——侧信道技术。侧信道技术是通过手机中的其他传感器,如陀螺仪、加速计,获得数据,进而通过深度学习等途径恢复语音数据的一种技术。
从目前看到的相关材料来看,侧信道技术的推出距离其大规模地应用仍有一段距离,利用侧信道技术进行偷听的方式来精准推送广告依然成本较高。
任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。
来源 《中华人民共和国数据安全法》第三十二条。
依靠什么进行精准推送?
既然上面提到的那些方式,厂商不可能用来进行精准推送。那么为什么广告推送得能这么精准?或者来讲,他们依靠什么方式进行的广告推送?
图源 Apple
首先,我们需要明确一个事实,无论是网站还是 app 都可能会对你的数据进行收集;有些 app 可能作者或者开发商本身并不打算收集你的数据,但使用到的第三方代码中(我们常听到的 SDK 或是「轮子」)也可能会尝试对我们进行数据收集。根据英国在线平台和数字广告市场的一项 研究,每一款热门的 app 平均就含有 6 个跟踪器,而且即使在 iOS 平台上不可避免;这些跟踪器不仅会在线上持续跟踪,还会持续跟踪线下的活动,比如线下点餐时的扫码步骤。
除了这些网站、app 以及大型的软件平台会对个人进行跟踪,还有一种名叫 数据代理商(有时也被称为数据中介商)的也会进行跟踪。这些数据代理商也会持续收集数据,但是不会自己用,而是定期对这些数据进行打包,再向第三方进行出售或是许可第三方使用和他们无关的特定终端用户的个人信息。
图源 Apple
最后再加上广告公司就构成了庞大的推送生态系统,所有被这个生态系统收集到的数据都会在彼此之间分享、拼凑以及汇总,再加上实时竞拍,最后呈现在我们面前的就是各式各样广告位里的广告了。
接下来,就是本部分的重头大戏了,相信你一定想知道它们到底是如何对你进行跟踪的?跟踪方法有很多,我只能举几个简单通用的例子进行介绍。
第一个例子就是「广告标识符」,广告标识符在不少设备上都是唯一的,只要应用/软件能获取到这个「广告标识符」就可以把收集到的数据和用户联系起来,但除了「广告标识符」依然有不少「奇怪」的方法可以跟踪用户。
第二个例子就是网页浏览,相信你一定见过不少网站有类似「分享到 xx」的小按钮,虽然大部分人不会用也不明白为什么还要有这些按钮的必要,但事实上这些按钮就是在网页上跟踪你的办法之一;即使你不使用这些按钮,它们也会持续跟踪对你跟踪并可以收集类似的数据:这个页面是什么、你停留了多久、有使用某个按钮吗等等……并会上传到对应服务商,服务商会稍后对数据进行处理。当然网页跟踪的手段还有很多,比如通过 url 里的某个参数进行跟踪、页面上显示一个 1 px 大小的透明图片进行跟踪、使用特定的 javascript 代码跟踪、WebRTC 技术甚至是通过本机的特定信息等。
第三个例子我会举 Android 上的某里系软件,某里系软件软件会直接在内部存储的目录下写入一个文件,这个文件内包含的就是跟踪我们得到的数据,再加上普通人对权限管控不严格,它们就可以收集到如下数据:ta 一般会在 xx-xx 期间浏览某宝、ta 在夜间通常会呆在某个地方、某个时间扫描了某个线下的餐厅点餐码等等等信息。甚至有些第三方不得不使用使用某里系 SDK 的应用也会成为帮凶,让数据从一个平台流转到其他平台。另外就是 Android 12 上的存储隔离功能上线以后,反而会加剧个人用户隐私泄露的风险,现在某里系软件甚至直接把跟踪文件写进了公共图片目录,即使完全不给 Android 软件权限,它们依然都可以读取或写入跟踪的数据。
图源 Apple
第四个例子则是 iOS 上的软件,如果你对权限管理不够严格的话 iOS 上的软件依然可以很容易地跟踪到你,就拿大家最司空见惯的访问图片的权限来说,一个应用如果可以访问图片库,那么它就可以访问这个图片库里所有的元数据,进而可以生成一个唯一的辨识符就和 「广告标识符」一样。但如果你对权限管理非常严格,但应用依然可以通过传感器以及周围的设备对用户进行跟踪,比如在同一辆公交车上的用户的加速度是一样的,可以通过其他用户那边获得到的地理定位猜测你的地理位置,虽然不一定准确但也不失是一个手段。还比如在 iOS 14 以前 iOS 并不会对本地网络权限进行限制,应用可以通过扫描本地网络同样获取一个独一无二的标识符,把你和家人相联,进而做到更深入的分析。
当然,除了为你展示广告需要跟踪你,展示完成广告以后还会持续对你进行跟踪,这主要是广告公司希望了解广告推送以后的效果如何,从而可以更准确地给你打上标签。
接下来,收集到数据以后还要对数据进行处理。因为不同的人生活是不一样的,所以自然千人千「面」;像我们在记笔记打标签一样,之前收集到的数据也会让系统给我们打的标签。这些标签组合在一起,一副关于用户的画像就出来了。
图源 Apple
最后,不同的用户画像将导致不同的人面对的广告内容可能是不一样的。(朋友圈的广告甚至会告诉你,有几个人与你共同欣赏了这条你可能并不喜欢的广告。)学区房、CPA 考试、酱香酒、电动车、手机、惊艳所有人……这些个性化广告的数据来源其实就是用户的使用记录。
举个例子,以日常的地理位置信息为例,大部人的位置信息通常就是公司、家庭两点一线。只有日常以及周末时间才能「四处乱窜」。而系统根据这样的一些位置信息就能够很容易推断出来经常前往的餐饮、购物、娱乐场所,进而进行相应的推送。
稍具规模的厂商基本上都布局了一个生态,这也就意味着他们可以获取到(同一)用户更多的方面的信息。获取的信息量越大,用户画像也就会由模糊变清晰。如果再结合第三方的信息源,那么简直不要更精确。你的工作状态怎样,你的生活状态怎样,是否单身,是否已婚,是否需要学区房……算法都会针对你的口味,有备而来。
生活小窍门:
我们可以利用 App 这种精准推送的功能来找到一些比我们想要的更好的东西。比如我们在某东/宝/多上搜我们想要的东西时,当天搜索完毕之后,不要急于下单。第二天,App 会给我们推送很多相关的产品,其中会有一些商品比我们之前搜索的更好。
除了上面提到的这些跟踪方法之外,和我们标题最相关的例子可能就是语音转文字功能了。现在的大部分的 App 都带有语音转文字功能,在获取了麦克风的权限之后,用户口说,App 就可以进行相应的操作。当 App 在前台运行,并且不锁屏的时候,实际上 App 是处于一个录音开启状态的。
最后的最后,日常中一些看似免费的免费服务其实并不是那么的廉价。这些免费的服务既包括线上提供的服务,也包括线下提供的免费 Wi-Fi 等形式的服务。其实免费的东西是最贵的。这些免费的服务通常都是以用户自身的信息作为筹码进行交换,进而获取相应的服务。
怎样减少精准推送?
简单地讲,精准推送在技术上是不可能完全杜绝的。不过,我们可以采取一些措施来减少精准推送。
首先要做的就是确保我们所使用的 App 是从正规渠道下载,避免使用问题 App。对于一般用户来讲,iOS 或者是 Android 就没有必要进行越狱或者 root 了。
其次就是权限问题。初次使用 App 的时候,App 会申请相应的权限。此时一定要看一下 App 申请的权限有哪些。根据 App 的用途关闭一些没有必要的权限,可选可不选的权限就不要选。比如一些本地修图的 App 就可以取消联网功能,一些并不是随时需要位置信息的 App 就可以取消定位权限,使用的时候手动确认位置信息。如果已经错过了这一步,后续可以到相应的系统隐私部分进行调整。
iOS 上,初次使用 App 的时候会弹出对话框,询问跟踪权限。一般情况下,建议选择「要求 App 不跟踪」
除了 App 的跟踪之外,同样建议取消 App 的本地网络权限。从 iOS 14 开始,系统新增了一个对 App 本地网络权限的管理。然而「就大部分应用而言,它们都不需要给本地网络权限」。他们请求这一权限的额主要目的就是为了跟踪用户并推送广告。即便是误关了,用到再开启也来得及。
关于本地网络权限的问题可以阅读我派上相应的文章 iOS 14 新增的本地网络权限,要开给第三方 App 吗?
对于一些基本上属于本地应用的 App,可以采取关闭数据的方式,从而避免广告的精准推送,乃至杜绝广告推送。以 Foodie 为例,可以从手机的「设置」进入到「蜂窝网络」,然后找到该 App,关闭使用数据功能即可。
关闭 APP 的联网功能,杜绝广告推送
具体到 App 本身上,目前主流的 App 厂商都已经提供了关闭个性化广告的选项。通常来讲,这些个性化广告的功能都是出于开启状态,部分 App 的关闭功能也隐藏的比较深。出于隐私保护的目的,建议手动关闭 App 的个性化广告。关闭微信朋友圈、QQ 空间、微博、淘宝的个性化广告的方法可以参照我派之前的文章 拒绝更懂你的广告,如何关闭朋友圈、微博的个性化推广。这里再补充两个常用的 App。
美团 App 可以从首页「我的」进入,依次点击「设置」-「隐私管理」,进入到「推荐管理」,进而关闭个性化内容推荐与个性化广告推荐的页面。
京东也是从首页「我的」进入,点击右上角的齿轮设置图标进入到「账户设置页面」,依次点击「通用」-「隐私设置」-「广告管理」,进入到「个性化广告设置管理」的页面。
在使用 App 的时候,除了主动的去关闭个性化广告以减少精准推送之外,还有这样的几点额外提醒一下:手机用完及时锁屏,或者使用完一些有麦克风权限的 App 之后及时关闭。那些不长期使用的 App ,避免长期在手机前台运行。及时清理手机的剪贴板。或用清空功能将剪贴板清空,或者使用脏数据填充一下。
外出时,尽量不用不可信的公共 Wi-Fi,防止个人信息被恶意地获取。在目前整体的数据流量已经比较便宜的情况下,使用自己的手机流量就可以了。我们没有必要为了那一点点流量,去出卖自己的个人信息。
小结
目前,与精准推送相关的法规层面,国家已经先后出台了《网络安全法》、《数据安全法》、《个人信息保护法》等一系列法律,与之相配套的也有《App 违法违规收集使用个人信息行为认定方法》、《信息安全技术个人信息安全规范》等法规,《网络数据安全管理条例(征求意见稿)》也已经在 公开征求意见 。在实践中,工信部也在不断地加大对 App 侵害用户权益的整治力度,并重拳整治了 APP 违规调用通讯录、位置信息、弹窗骚扰用户等问题。最近,工信部也在对 App 超范围、高频次索取权限,非服务场景所必需收集用户个人信息,欺骗误导用户下载等违规行为进行了 检查 ,并责令问题 App 进行整改。
得益于隐私保护的相关法规政策,各大 App 更新后均把其隐私政策放到了显眼位置
随着监管层面的不断发力、公众重视程度的不断提高以及互联网企业自身自律意识的提升,相关方的合力会推动互联网生态的向好发展。目前个人数据安全仍是一个任重道远的问题,需要全社会的共同努力。
