V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
IgniteWhite
V2EX  ›  互联网

支付宝被发现会悄悄偷拍 (via Solidot)

  •  2
     
  •   IgniteWhite · 2016-02-23 12:01:16 +08:00 · 22785 次点击
    这是一个创建于 3203 天前的主题,其中的信息可能已经有所发展或是发生改变。
    国产移动应用的权限需求和后台活动再次引发了关注,这一次又是支付宝。支付宝是最流行的中国移动应用之一,安装量有数亿之多,它的体积庞大功能庞杂,用户根本无法了解它在后台究竟会干什么。 Twitter 用户 typcn 报告称,“支付宝安卓版每隔 X 分钟(服务器指定)会在后台开启摄像头拍照,录音 X 秒,然后上传到服务器上。”作者进一步指出,支付宝的偷拍是“开启相机预览,设置相机预览回调,然后从相机预览的画面里面拿一帧,这样不会调用 takePhoto ,在部分强制开启拍照声音的手机上,也不会出现声音,因为是在预览缓冲中拿的图像。”知乎上有相关讨论,尚未看到支付宝官方的回应。
    124 条回复    2016-02-28 05:58:35 +08:00
    1  2  
    VmuTargh
        101
    VmuTargh  
       2016-02-24 11:37:12 +08:00
    @jannigermany 我这边根本没反应有翻页,然后发现里面一个洗地的早被我 Block 了看不到&……
    viila
        102
    viila  
       2016-02-24 11:37:31 +08:00
    前东家某产品线的 PM 提出过个需求。因为应用内某个步骤音视频摄像是刚需。然后安卓辣鸡设备太多,启动个音频都卡得不要不要的。所以要求开发在程序运行后的合适时机先预启动音视频设备。
    要解释也是解释得通的嘛。
    VmuTargh
        103
    VmuTargh  
       2016-02-24 11:37:35 +08:00
    @jannigermany 我这边根本没反应有翻页,然后发现里面一个洗地的早被我 B 了看不到&……
    IgniteWhite
        104
    IgniteWhite  
    OP
       2016-02-24 11:39:23 +08:00
    不要错过翻页!
    mcone
        105
    mcone  
       2016-02-24 11:40:06 +08:00
    @Testalias 删评论无数,连我这个路人的一个毫无恶意的问句也被删了,有毛意思…………

    另外敢这样回复的,估计后台早都把相关东西清理干净了,然后才放出公关吧(请原谅我的腹黑,但是国内很多企业甚至是大企业都是这么搞的)
    VmuTargh
        106
    VmuTargh  
       2016-02-24 11:40:42 +08:00
    @IgniteWhite 我去 我发重了
    MountainRain
        107
    MountainRain  
       2016-02-24 11:42:19 +08:00   ❤️ 1
    去年美团被人发现 强杀竞争对手的商家版 App 进程 看看美团的回复的方式

    https://www.zhihu.com/question/31413252
    TakanashiAzusa
        108
    TakanashiAzusa  
       2016-02-24 11:57:45 +08:00
    我的问题在于支付宝这么做的动机是什么?视频和图片分析并没有那么容易,更不用说在这个过程中产生的大量流量和存储费用。。用户该有的信息支付宝都可以有其他更简单的办法拿到。没必要这样弄
    Gomant
        109
    Gomant  
       2016-02-24 12:34:52 +08:00 via Android
    昨天把摄像头权限改成了提示。还有之前的调用录音的。
    http://i13.tietuku.com/dac257202145efbd.png
    http://i13.tietuku.com/d17e2893ee3a2976.png
    paw
        110
    paw  
       2016-02-24 12:46:02 +08:00
    @snnn 虚拟机 微信? 在虚拟机里用 PC 版微信吗? 可以啊, PC 性能可以的话在虚拟机里玩 DNF 都行。
    paw
        111
    paw  
       2016-02-24 12:54:35 +08:00   ❤️ 2
    突然想起来这个,支付宝 PC 控件的事...
    http://www.freebuf.com/news/special/39805.html
    paw
        112
    paw  
       2016-02-24 12:59:36 +08:00
    @TakanashiAzusa
    不管它动机是什么,我就很反感它申请一堆权限,就像阿里给你说“我在你家里装一个摄像头,但是我保证不会在你不知情的情况下使用”一样,关键现在还有证据说明它定期启动摄像头,虽然还没人拿出证据说它的确上传了。
    v2014
        113
    v2014  
       2016-02-24 13:00:13 +08:00
    反正 uc 浏览器就被我抓到过,莫名其妙的截图保存在 uc 目录下,很容易发现,现在不用了,不知道改进了没有
    Quaintjade
        114
    Quaintjade  
       2016-02-24 13:02:23 +08:00   ❤️ 1
    @TakanashiAzusa
    最大的动机应该是大数据安全。
    比如手机被盗然后支付宝被盗用,那么这个机制就很有可能记录下盗用人的相貌、言语、位置等特征,查水表太容易了。还有像自己支付宝花了钱,赖支付宝安全问题说被盗刷要求撤销的,有了支付时的记录就能打脸。

    流量和存储费用根本不用担心的,如果控制频率(比如一天十张照片,音频十几秒),根本不费多少流量。要看清人脸, 5KB 已经很清晰了;要听说话, opus 最低可以做到 4kbps ,清楚一些的 8kbps 。

    支付宝拿的其他信息大多是静态信息或间接动态信息(比如在何时在何地消费多少,曾经转账给哪些人),但假如真的定期拍照和录音,那就完全是直接动态信息,对大数据安全来说价值极高。
    TakanashiAzusa
        115
    TakanashiAzusa  
       2016-02-24 13:07:00 +08:00
    @Quaintjade 但并没有实际拍下照片啊,很多时候估计都是黑屏的图片。。
    @paw 申请权限这个其实一直是我所不理解的地方,然而 v2 到现在为止都没有看到一个安卓开发出来解释过这个问题:申请摄像头权限到底需不需要实际启动摄像头?还是说申请权限就必须实际启动摄像头?
    Quaintjade
        116
    Quaintjade  
       2016-02-24 13:12:03 +08:00
    @TakanashiAzusa
    截取预览帧啊。如果 6 一些的话,人脸识别失败就丢弃图片,识别到了就截取压缩。
    话说最佳时机应该是打开支付宝应用时,因为大部分人此时屏幕都是正对着脸的。
    chemzqm
        117
    chemzqm  
       2016-02-24 13:12:16 +08:00
    @TakanashiAzusa 调用预览接口也需要摄像头权限的吗?
    paw
        118
    paw  
       2016-02-24 13:15:21 +08:00
    @TakanashiAzusa “申请摄像头权限”只是在一个 app 项目工程里面的一个 XML 配置文件里面写一句话,就 OK 了,在安装 app 的时候,出现的那个权限列表就是这个 APP 要申请的所有权限(<6.0)。
    所以申请权限并不需要“实际启动摄像头”。
    上面评论里面一堆申请权限 /拒绝允许之类的,都是第三方框架或者 android 6.0 的权限控制。
    binux
        119
    binux  
       2016-02-24 15:44:03 +08:00 via Android
    @clino 那只能说代码写得不好,动机又不是证据,我只是现有证据没法证明支付宝声明中,只是申请权限没有用,不会上传,是假的。
    但是我也没说它就是真的,支付宝也没证据
    clino
        120
    clino  
       2016-02-24 16:01:17 +08:00
    @binux 嗯 这种情况下是否要相信支付宝只是看自己的判断了, 我想还有一种可能是支付宝已经具备了强大的武器库(就是 3Q 大战里用的那些之类的),这次只是开发人员或者控制武器的人员不小心搞得擦枪走火了,下次会做得更隐蔽,范围可能会控制明确,当然这只是我的阴谋论,不过谁知道不是真的这样呢

    我现在干脆冻结了支付宝,要用的时候解冻用完冻结

    不过像微信这种要是耍流氓了还真不好用这种方法了...
    看来还真只有 iPhone 才靠谱了哈
    bk201
        121
    bk201  
       2016-02-24 16:18:51 +08:00
    支付宝哪里需要录音?咻咻?这东西大财团斗啊斗的,管不了,只求一个支付软件不要卡,顺畅点让我付款,本职工作做不好搞社交怎么也说不过去。知道 sb 却不更改,还真是厚颜无耻,让人不禁怀疑该企业某些职工的 rp 以及企业氛围。
    P0P
        122
    P0P  
       2016-02-24 16:48:54 +08:00
    已经把所有国产 冻结了。。。
    charlie21
        123
    charlie21  
       2016-02-26 19:07:19 +08:00   ❤️ 1
    云舒:别 BB ,放码过来拿 10 万现金吧
    http://zhuanlan.zhihu.com/justnow/20595834

    对于云舒的采访:支付宝“隐私门”和“十万悬赏”,我们和云舒聊了聊
    http://www.freebuf.com/news/special/97001.html

    云舒:给大家传输经验:作为一个技术人员要有这种 “ no bb , show me the code ” 的觉悟
    https://www.zhihu.com/question/40712137/answer/87894647
    vibbow
        124
    vibbow  
       2016-02-28 05:58:35 +08:00
    我笔记本之前有遇到过 CPU 一直无法正常进入节能状态,主频一直保持在最高频率,然后风扇就呼呼的转。
    经过一个一个杀进程测试,最后发现杀掉阿里旺旺就恢复正常了。
    从此阿里全家桶只配呆在沙盒里。
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2452 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 16:02 · PVG 00:02 · LAX 08:02 · JFK 11:02
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.