苹果的一次更新,造成了堪称互联网App史上第一宗集体大案:到底是这些App全都是小偷,还是iOS 15的又一个漏洞?儘管因為BUG太多遭人吐槽,但iOS 15系統仍然在整個互聯網界掀起了一陣血雨腥風。
先是微信。一開始,有網友“爆料”微信在後台反覆讀取用户相冊。次日,通過同樣的一款名為“隱私洞見”的App,有網友發現,美團也在後台讀取了用户定位信息。接着,網友發現淘寶、高德地圖、知乎、微博,都存在讀取用户相冊、定位或訪問網站的記錄。
各大互聯網App無一倖免。甚至有數碼自媒體乾脆放話,“都一樣”。
蘋果的一次更新,造成了堪稱互聯網App史上第一宗集體大案:到底是這些App全都是小偷,還是iOS 15的又一個漏洞?
實地測試:使用頻率較高且被有權限的App,都在不斷獲取用户信息
便於更好了解相關情況,我們也按照這位網友説到的方法,下載了“隱私洞見-App Privacy Insights”這款軟件進行了一些測試。
我們先拋結論,再詳細介紹測試的情況,測試的結果簡單概括是:那些使用頻率較高且有定位權限的App,的確在後台不斷獲取用户的位置信息。
首先,安裝“隱私洞見”軟件就必須要iOS15系統。下載安裝之後,我們要將iOS系統存儲的App活動記錄導入到“隱私洞見”,然後我們就可以看到我們的蘋果手機裏安裝的App在後台的活動情況了。
接下來,就是激動人心的時刻了。微信的活動記錄最多,包括讀取照片、通訊錄以及位置信息,當然這與使用微信的頻率高有很大關係。淘寶是幾乎每隔1分鐘就會有一條活動記錄,包括“獲取用户的位置”和“讀取照片”。微博則是每隔2-3分鐘就會有一次“獲取用户的位置”記錄。高德和滴滴兩款App也存在短時間內多次獲取用户的位置情況,
對於很多網友關注的授權情況問題,很多App本人已經記不清當時的授權,但通過在系統設置的定位服務裏還是可以看到這些App的授權情況。
經過測試,凡是活躍的App,如微信、淘寶、微博和高德等,都是經過了授權“始終允許”,而“滴滴”則授權在“使用期間”可以獲取位置信息。在後台關閉滴滴後,滴滴也的確停止了獲取信息的動作。
App們讀取用户信息的邏輯是什麼?
在這幾個App中,目前只有騰訊於10月8日晚對此做出解釋。但這個解釋,看起來應該沒有讓用户看懂。
騰訊的解釋是,當用户授權微信可以讀取“系統相冊權限”的前提後,為便於用户在微信聊天中按“+”時可以快速發圖,調用了iOS系統為開發者提供的相冊更新通知標準能力。
其實,換成大家能夠理解的話説,就是在升級iOS15之後,當用户的相冊發生內容更新時,系統會通知一些用户賦予了長期相冊權限的App,提醒App可以提前做準備了。
於是,這些擁有了數據權限的App就開始忙活起來了,“系統通知我們了,説主人有新的相片了可能會發朋友圈,咱們提前接入一下相冊入口吧”。
這個邏輯是系統暗藏的,用户很難理解。但是基於iOS系統現在的設定,基礎前提有兩個,首先,是用户授予了App長期權限。例如,在微信的案例裏,是用户授予了始終讀取全部相冊的權限,而在美團、高德里,是用户授予了始終讀取定位信息的權限。
第二個前提,是用户的相關信息發生了變化,系統通知了這些有權限的App。例如,當你使用地圖軟件時,當用户位置發生了變化,系統會告知App,App進行實時讀取後,才能更新用户的移動,完成導航服務。
也就是説,iOS系統默認用户勾選了“始終授予權限”之後,就是對這些App隨時提供服務有需求,當用户的相關信息發生變化,系統會認為用户可能會產生需求,接着再去通知和喚起相關App
比如説,如果用户授予了美團長期定位權限,在後台進程中又沒有關閉美團,當發生位置移動時,系統就會告訴美團用户移動了,美團就會自動開始讀取定位信息,做好用户要點外賣的準備。
用户為什麼會害怕?
從上面的邏輯來看,微信本意上是為了讓用户發送圖片體驗更快速流暢,但是在iOS系統的表述裏,App的該準備行為會被記錄成讀取系統相冊。
用户是善忘的,從上述情況看,用户其實並不清楚自己已經授予了App的“長期權限”,並且,也沒有在後台繼續關閉這些App,客觀上造成了系統認為用户一直有需求,因此,當用户的相冊、位置發生了變化,就會不斷喚醒這些App來完成服務。
上述過程,在用户視角看來是難以理解的冰山之下。他們所能看到的,就是通過一款軟件發現了自己的App似乎在“偷偷行動”。而每一個動作是因為什麼而發生的,其實用户根本無法瞭解。
這就造成了一個普遍性的質疑:你有必要做這些動作嗎?
過去很長時間以來,我們個人信息保護的意識不高,不少App的確存在過度收集用户數據的情況,而長期沒有對用户進行耐心準確的解釋説明。
因此,當黑盒子被打開,用户陷入了未知的恐慌,這也是自然反應。從更高的維度看,這也是這些App長期缺乏公眾溝通造成的後果。
因此,這樁互聯網App集體曝光案背後,是公眾的隱私保護意識大幅提高。從這個角度來説,iOS15升級,讓所有App意識到必須要更明確邊界,不僅對用户是保護,對App也是一種保護。
