2018-06-29

手机安全再被推上风口浪尖 某些APP竟调用摄像头“偷拍”?

编辑:吴盈秋
导 语

自动“升降”的动作,疑似拍照,引发了用户对于隐私泄露的担忧:APP会不会在用户不知情的情况下,偷偷利用手机前置相机来拍摄或录制视频?QQ浏览器团队回应称,确认存在调起摄像头动作,但不会采集用户任何隐私。

u=3810228580,1704030774&fm=173&app=25&f=JPEG.jpg

  浙江在线6月29日讯(浙江在线编辑 吴盈秋)随着vivo NEX手机开卖,不少网友对它的“隐藏式升降式摄像头”很感兴趣。升降式前置摄像头作为vivo NEX手机的一大卖点,在日常使用时,前置摄像头隐藏在机身顶部,当需要自拍时,前置摄像头会自动升起,退出自拍时,前置摄像头也会自动降回机身,显得非常炫酷。

  只是浏览网页 摄像头突然探出来

  近日,有网友发现,vivo NEX升降摄像头误打误撞成为App隐私检测神器。

  一些拥有相机权限的App会在用户不知情的情况下,不定时偷拍周围的环境。网友发布的一段视频显示,在QQ浏览器中打开携程网站,vivoNEX的前置摄像头突然自动升了起来,然后默默“扫描”了一眼再缩回去。

  试想一下,你正在忘我地玩着手机,且明明没有使用到相机功能,此时摄像头突然自动升了起来,你什么感觉?消息一出,立即引起不少网友的热烈讨论。“细思极恐,还有这种操作?”“所以获取这些权限的手机软件,任何时候都可以偷拍我们?”“看样子必须找个东西把摄像头遮住了”……

  6月28日下午4点,记者分别通过两台手机实测发现,vivo NEX确实存在自动探出摄像头的现象。在允许QQ浏览器调用相机权限后,记者打开这款App搜索“携程”,随后连接到携程官方网站,当点击“周边游”时,vivo NEX的前置摄像头出现快速探出和缩回的情况。

  QQ浏览器回应:弹出不会开启摄像头

  对于用户的担忧,QQ浏览器团队回应称,确认存在调起摄像头动作,但同时称这一动作并不会开启摄像头,更不会拍摄或记录,手机QQ浏览器并不会采集用户任何隐私。

  以下是QQ浏览器团队回应全文:

  关于用QQ浏览器打开某些网页会调起vivo NEX摄像头问题的说明

  QQ浏览器团队收到用户反馈,用户在vivo NEX手机设备上通过手机QQ浏览器打开某些网页时,手机摄像头会出现一个“升降”动作,对此,QQ浏览器技术团队对该问题进行了测试复现,确认存在调起摄像头动作,但这一动作并不会开启摄像头,更不会拍摄或记录,现针对该问题作出如下说明:

  1、问题原因及技术原理:

  为实现用户对一些功能使用(如扫描二维码),W3C规范有一个前端标准接口navigator.mediaDevices.enumerateDevices()可以遍历媒体设备,获取摄像头参数以供后续使用,Android有两套API来操作摄像头,camera1和camera2,其中camera2不需要打开摄像头就可以获取摄像头参数,而camera1需要调用Camera.Open()函数初始化,以获取摄像头句柄,然后通过摄像头句柄获取摄像头参数(https://developer.android.com/reference/android/hardware/Camera)。考虑到camera2在AR摄像头等应用中在性能和兼容性上存在很多问题,手机QQ浏览器内核使用的是camera1接口,导致vivo NEX手机用户体验上会出现摄像头“升降”动作。

  2、手机QQ浏览器并不会采集用户任何隐私。

  实际上,用户在用手机QQ浏览器打开某些网页过程中“需要获取摄像头的参数”情况下,vivo NEX手机的摄像头并没有完全弹出(用户可以使用QQ浏览器打开网页https://qiyaoyuan.github.io/source/webar.html 测试复现),而摄像头也没有做任何拍摄或采集行为,手机QQ浏览器并不会采集用户任何隐私。该网页只调用了mediaDevices.enumerateDevices接口,并没有其他任何操作。

  3、我们将优化用户使用感受和体验。

  再次感谢广大用户对QQ浏览器的关注和意见反馈,对给用户造成误解和困惑表示歉意,我们将对这一使用体验进行优化和提示。

  QQ浏览器产品团队

  手机APP偷窥隐私 网友虽"无奈"但不得不用

  你手机里的这些APP真的安全吗?根据《2017年度网络隐私安全及网络欺诈行为分析报告》,2017年下半年,Android手机APP中有98.5%都在获取用户隐私权限,这相较于上半年增长2%。而获取用户手机隐私权限的iOS应用在2017年下半年比例有所上升,达到81.9%,较上半年提高了12.6%。

  虽然绝大多数软件获取用户隐私是出于用户正常使用产品的目的,比如图片美化APP,必须要访问你的相机或者图片库,导航APP得先知道你的定位,但报告也指出,有9%的Android应用在2017年下半年存在越界获取用户隐私权限的现象。

  记者通过自己手机安装的APP应用权限进行查看,不管是作为何种用途的APP,大多需要开启位置、拨号等多项权限才能使用。

  记者首先下载了一款外卖APP。在初次打开APP时,页面上弹出一个“权限请求”,请求定位手机权限。选择“禁止”后,页面提示可能会出现功能异常,并再次询问“设为允许”还是“保持禁止”。在继续选择“禁止”后,该APP可正常打开。

  随后,在后台权限管理中,虽然“定位手机”设为禁止,但“访问联系人”“访问通话记录”以及“访问短信/彩信”等涉及隐私安全的选项也被开启,而记者此前并未授权。

  像这样未提示就直接开启一些隐私安全权限的APP还不少,包括下载次数达2.6亿次的某地图APP、下载次数达4.5亿的某视频APP。让人感到疑惑的是,这款视频APP除了“使用摄像头”“录音”等授权,还自动开启了“访问联系人”“访问日程”等权限。

  另一款搜索APP,下载安装后,首次打开时会直接弹出一个温馨提示称:“未来给你提供天气和本地生活服务,我们会申请读取你的设备状态和设备号等。当你使用语音搜索或拍照、AR、扫一扫等识别服务时,我们会申请使用你的麦克风和相机、相册等信息。在你使用找好友功能时,同时在你登录时,我们会申请访问你的短信信息以快捷地填写验证码。”虽为“温馨”提示,可选项只有“不同意”和“同意并继续”,如果选择“不同意”,该APP不能打开。

  如今在“互联网+”的大环境之下,大众的各种个人、隐私信息都会暴露于多个平台上,最潜在的风险就是这些被收集的隐私信息会被如何使用。要想真正将隐私信息保护进行强化,还须政府和企业双管齐下。

  (综合经济日报-中国经济网、“中国消费者报”微信公众号、华西都市报等)