т

調皮電商

電商零售·營銷·產業互聯

關注

作者 |李丹琦 郝俊慧

來源 | IT時報（ID：vittimes）

原標題 |隔屏有耳，記者耗時3個月測試，美團餓了麼是否在“偷聽”？

“我的命，我自己操盤”，這是《竊聽風雲2》中的經典臺詞，但現實生活中，我們可能連自己手機的麥克風都操盤不了。

你遇到過這樣的情況嗎？剛說了想喫什麼，手機裏就蹦出了它的推薦；剛說了要買什麼，就出現了廣告。

可是，手機怎麼知道你剛剛說了什麼呢？一位讀者2018年11月的投訴引起了記者的注意，他懷疑外賣App在“偷聽”自己說話。

隨後，《IT時報》記者耗時3個多月的時間，通過模擬用戶使用場景，對安卓手機、蘋果手機、蘋果平板電腦上的餓了麼和美團外賣進行多輪測試。

對此，餓了麼和美團迴應：不存在“偷聽”！

3月14日晚，記者更新了最新iOS版美團外賣、餓了麼，它們都不再索取麥克風權限，不過安卓版裏的錄音權限依然存在。

網友遭遇：餓了麼在“偷聽”我嗎？

2018年11月中旬，上海的孫女士在和同事閒聊時提到想喝CoCo奶茶，在打開餓了麼App時，在推薦商家首位看見了CoCo奶茶。讓孫女士疑惑的是，自己之前從未在餓了麼買過CoCo奶茶，在她手機後臺，同時打開了淘寶、微信、知乎、微博等多個App，“此前也沒有使用任何手機App搜索過CoCo奶茶的相關信息。”

無獨有偶，北京一位網友燃玉（化名）在2018年11月14日晚上8點左右，跟朋友說想喫鰻魚飯，1分鐘後打開支付寶上的餓了麼應用，推薦位頂部恰巧顯示着一家鰻魚飯的外賣店，此時距離他上次下單鰻魚飯相隔23天。

爲了再次驗證這一現象是否純屬巧合，次日中午，燃玉自行對着手機進行了一輪測試。在沒有打開應用的情況下，他大聲說想喫披薩，隨後纔打開了支付寶裏的餓了麼應用，在推薦位首頁中出現了一家披薩店，“這家店的披薩我曾經點過，但也應該是半個月前。”

燃玉使用的手機型號是小米MIX2，系統版本爲MIUI9.6，在他的手機上，包括支付寶在內的大多數應用都有錄音權限，且這一權限在安裝時就已經默認啓用。“連續兩次都遇到了同樣的情況，難道是支付寶或者餓了麼在偷聽我說話？”燃玉猜測。

12月15日，燃玉將自己遇到的情況第一時間發佈在了微博中。根據微博後的154條評論來看，與燃玉有類似經歷懷疑App“偷聽”的人數佔六分之一。

記者實測

孫女士和燃玉到底是杞人憂天還是確有其事？從2018年11月到2019年3月，《IT時報》記者用了3個多月的時間，通過模擬用戶使用場景，對安卓手機、蘋果手機、蘋果平板電腦上的餓了麼和美團外賣進行了多輪測試。

第一次測試：餓了麼準確度80%

2018年11月19日，《IT時報》記者以兩款蘋果手機爲測試工具進行了測試。首先，打開餓了麼App和美團外賣App，確認前三屏推薦商家，然後關掉屏幕（兩款App應仍在後臺運行），隨後兩名記者以聊天的形式提到，中午要喫日式料理（爲了保證測試公平，記者選了一類從未點過或搜索過的飯食）。

兩分鐘之後，再次進入餓了麼，首屏第二推薦位出現一家“**屋日式料理”。蹊蹺的是，兩分鐘後，當記者再次打開頁面，這家店又神奇地消失了，而原先第一位和第三位的商家卻都沒有變。

這是巧合嗎？關掉屏幕後，兩位記者繼續聊着日本料理，6分鐘後再次打開餓了麼，這家神奇的“日式料理店”又出現了，只是這次位置下降到了第七位。再次關掉，兩分鐘後再次打開，同樣的事情發生了，這家店又消失了，而其他推薦商家基本保持沒變。

緊接着，記者又以港式料理、茶餐廳爲主題開始聊天。同樣的現象再次出現，10分鐘後，一家“××廣東腸粉”和一家知名港式連鎖店出現在首屏推薦位，兩分鐘後，這兩家店又“神祕消失”了。

在大概1個多小時的時間裏，記者進行了多次測試，餓了麼出現同類現象的概率大概在80%左右，準確度非常高，其中一家被精準提到的門店，雖然在第一天沒有出現，卻在第二天出現在“品質優選”頻道。美團外賣則基本沒出現類似情況。

測試中記者也發現，餓了麼和美團外賣並沒有被蘋果手機授權打開麥克風，但同一體系內的天貓、微信的麥克風都在開啓狀態。

第二天，記者將天貓、微信的麥克風權限都取消，再次進行測試，相關情況沒有出現。

多輪測試後，餓了麼下降 美團上升

爲了獲得更準確的測試結果，在接下來的3個月中，記者在不同場景、不同時間段進行了數十次測試，並將測試設備擴展到iPhone、安卓手機和iPad。

以3月9日11:57開啓的一輪測試爲例，在以“我想點一個涼皮”爲關鍵詞重複多次之後，一家名爲“涼皮先生”的店鋪出現在了蘋果手機美團外賣App首頁推薦商家的第20位，但同樣在刷新之後，這家“涼皮先生”外賣店消失不見了。記者當即撥打這家涼皮先生店鋪的電話，對方表示，當天的確在美團外賣上開啓了店鋪推廣，但並沒有刻意刷新曝光率。

此前，記者曾以“今夜燒烤小龍蝦”“黃燜雞米飯”“塔哈爾新疆菜”和“元寶餃子”作爲關鍵詞，分別在2018年12月20日、12月29日、12月30日以及2019年1月3日對蘋果和安卓版的美團外賣App進行了相同測試，以上四次測試中均出現了與關鍵詞一致的結果。

綜合所有測試結果，精準推薦和同類推薦出現的概率超過70%。但不同的是，第一次測試同類情況比較多見的餓了麼，在今年1月1日以後，此類現象基本消失。但原本情況並不明顯的美團外賣，態勢卻有上升之勢。

餓了麼、美團迴應：不存在“偷聽”

到底這種推薦店鋪的出現，是什麼原因呢？

餓了麼相關人士表示，所謂“監聽用戶日常對話並做信息分析”，是一種無端猜測，餓了麼既沒有做類似的產品設置，也不具備相關技術條件，餓了麼嚴格保護用戶隱私，任何必要的信息採集都會在取得用戶事先同意的前提下進行，在合法合規的範圍內使用。

專家測試

沒使用時有數據上傳，無法確定是什麼信息

那麼，到底是巧合，還是確實這些外賣App在使用麥克風“偷聽”用戶？

3月13日，《IT時報》記者來到上海軟件測評中心對兩款App進行數據包的抓取測試。

在數據抓取過程中，由於餓了麼App使用了開發者設定的證書綁定技術，導致非開發人員無法使用Charles等抓包工具抓取餓了麼App的數據包。但從美團外賣App的抓包結果來看，在測試的一段時間內，抓包工具中抓取到了近400個與美團外賣相關且大小不一的數據包。這其中也包含在安靜的環境中美團外賣App產生的少量數據包。

“我們抓的這些包，就是打開App操作時，手機和服務器之間通信的各種數據，”上海軟件測評中心技術人員表示，如果App偷聽的情況真實存在，那麼就隱藏在這些數據包中。但難點在於如何在大量數據中分辨出哪些是客戶端與App之間正常的請求數據、哪些是App用於收集用戶語音信息的數據。

該技術人員還表示，即便是分辨出了數據包的信息，也不排除軟件開發者在數據包內用內部的加密方式對語音數據進行二次加密的可能。

由於分辨數據包需要花費大量的時間，所以短期內無法獲得對數據包進行分析後的結果。

美團對此表示，美團外賣App在退出切換過程中，有可能在後臺同步App性能數據（如系統穩定性數據、圖片加載成功率等），以便完善提升用戶體驗，同步內容不涉及任何用戶個人信息。

是否“偷聽” 業內觀點不一

此外，在獲得了麥克風權限的前提下，一款App可以通過另一款App獲得信息嗎？國內知名白帽子公司KEEN GeekPwn實驗室宋宇昊認爲，目前這一技術已經完全成熟，且有一條共享資源的傳輸鏈路。

“如果某App具有麥克風的訪問權限，理論上，此款聊天App可以監聽周圍環境的聲音。在此過程中，聊天App可以將語音輸入的代碼嵌在其App內部，用於將人類的語言轉換成文字，並上傳到服務端。服務端將這些文本進行處理後，與對應的用戶進行綁定。如果說兩個App之間有業務的合作，那麼他們將可以共享這項資源，”宋宇昊表示，“按現在的網速和機器性能，這波操作可以認爲是實時完成的。”

然而，儘管這一情形在技術上可以實現，但宋宇昊認爲，這並不代表相關App已經進行了這樣的操作。

騰訊手機管家安全專家楊啓波對此表示也認同，“有麥克風權限，不一定就會偷聽用戶說話。”楊啓波表示，儘管麥克風“偷聽”還很難確定，但出現如此巧合，極有可能是App在利用其他渠道獲取的大數據進行測算，“比如根據你當前所處的位置、經常光顧的餐廳、之前的搜索習慣等等數據來預測你的潛在需求。

現在的大數據智能推薦平臺已經可以通過多方面來運算，比如某些短視頻App，可能會根據你1~2個小時候刷新短視頻的習慣、 停留時長……來推斷你的興趣範圍等。”

另一家數據公司負責人則表示，外賣App 推送相關的店鋪有兩方面可能，一是推薦系統的冷啓動機制，即雖然用戶沒有在App上搜索或者點擊過，但推薦系統會根據用戶所在的區域、年齡層次、時間段等大範圍數據來做推薦，但也不排除確實有些App會利用麥克風權限對訂餐、店鋪等語音信息進行獲取。

指掌易科技相關技術負責人覺得出現類似情況純屬巧合，“在國內監管日趨嚴格、對個人信息安全保護重視程度日益加強的背景下，無論從業務本身還是法律範疇來看，監聽用戶對話並不是一個明智的選擇，這麼做只會給企業經營帶來非常大的風險，得不償失。所以基本可以排除某個App自動監聽的可能。”

記者手記：沒有答案的“巧合”

經過3個多月的測試，對於外賣App是否在“偷聽”用戶說話，答案依然是未知的。

如果說是“巧合”，那麼巧合的次數未免太多了些。爲了避免出現因搜索、輸入等非語音方式造成數據被讀取，後期測試的App都是重新安裝過的，甚至對某些設備做了刷機處理，而選擇測試的，也都是此前從來沒有點過，也沒有在手機中留下痕跡的菜系。因此，很難解釋爲什麼會在測試中突然出現相關店鋪，而更難解釋的是，再度刷新後，其他店鋪依然沒變，只有這家店鋪消失了。

但如果不是“巧合”，從現有的技術測試和業內人士的迴應來看，似乎通過麥克風“偷聽”是一件喫力不討好的事，企業不太可能做。

可是，有“被偷聽”疑問的並非只有孫女士和燃玉，涉及的App也不只是外賣。

在社交網站上搜索“App偷聽”的關鍵字，類似案例不勝枚舉。比如，知乎網友“米可”和朋友聊到單位的富貴竹花瓶，當天晚些時候便在淘寶上看到了富貴竹相關的店鋪推廣；知乎網友“不想起牀”在睡覺之前給寶寶講古埃及文明，隔天便在淘寶上收到了金字塔擺件和木乃伊擺件的推送；還有人表示跟家人對話說要去超市買牙線，晚上打開京東，在推薦裏就看到了牙線的推薦等等……身邊的同事也有過剛和家人聊了銀行貸款，接着就在今日頭條上看到網貸平臺和銀行消費貸廣告的情況。

然而，無論覺得如何不對勁，這些巧合都沒有答案。

但另一個巧合是，今年1月開始，陸陸續續有大量App更改了自己的隱私政策，隨着國內《網絡安全法》收緊，歐盟《通用數據保護條例》（簡稱GDPR）給谷歌等互聯網巨頭開出罰單，對於用戶的個人信息獲取、App權限的索取，中國的互聯網公司們明顯變得謹慎許多。也正是今年1月之後，餓了麼上再沒有同類現象在測試中被發現。