中國消費者報報道(記者武曉莉) 9月12日晚，記者與人聊天時，說到了畢業后去高校就業的話題。過了一會兒，對方的小紅書上就被推薦了“去高校工作的利與弊”的文章。他并不吃驚地對記者說：“我的手機肯定是被偷聽了?剛說完就推薦了，這種情況已經不是第一次了。”

　　偷聽、自啟動、剪切板讀取……在今年的國家網絡安全宣傳周上，中國電子技術標準化研究院信息安全研究中心審查部總監何延哲對記者表示：“老百姓舉報的問題越來越專業，雖然對我們的工作來說是一種挑戰，但這種挑戰讓我們覺得很欣慰，這是非常可喜的。”

　　此前，國家市場監督管理總局、中央網絡信息化辦公室、工業和信息化部、公安部等部門聯合開展APP違法違規收集使用個人信息專項治理。隨著治理工作的深入，APP偷聽等話題也開始引發熱議。

　　對于普通用戶來說，他們非常想了解使用APP到底可不可能被偷聽。日前，APP專項治理工作組的專家首次從技術層面對此進行了全面的解讀。

　　最新版安卓和蘋果系統無法偷聽

　　感覺自己被偷聽已經不是一個新鮮話題了。針對網友對APP存在偷聽日常談話的質疑，全國信息安全標準化技術委員會、中國消費者協會、中國互聯網協會、中國網絡空間安全協會成立APP專項治理工作組，組織專家從偷聽的可行性、性價比等方面進行了探討，以幫助消費者切實有效地提升個人信息保護意識和能力。

　　APP專項治理工作組專家鄧舒認為，APP要實現偷聽有三種方式：靜默狀態錄音、側信道還原和突破系統權限。

　　靜默錄音是指APP在不通知用戶的情況下，通過移動終端系統提供的錄音功能實現后臺靜默錄音，從而達到偷聽目的。消費者感覺最多的也是這種情況，即用戶授權APP使用錄音權限后可能出現的情況。

　　但鄧舒指出，最新的安卓和蘋果手機操作系統都已經從系統層面對在用戶無感情況下實現偷聽采取了限制機制，因此APP進行隱蔽偷聽是很困難的。限制后，Android9及以上版本手機里的APP，在后臺運行時無法訪問麥克風。只有打開前臺應用或通過前臺服務，才能進行錄音，而這兩種方式都會在手機屏幕上有足夠的提示，用戶都會感知到。

　　鄧舒還指出，Android9以下版本的手機由于沒有限制機制，APP是可以使用麥克風偷聽的。因此，用戶應更新安卓操作系統到最新版本。

　　相比安卓系統，蘋果iOS系統本身就對獲取用戶隱私數據做了足夠的限制，因此從系統層面避免了惡意偷聽的可能性。蘋果手機的APP申請后臺錄音等操作時，必須經過用戶授權。即便授權后，APP第一次錄音或后臺錄音超過8分鐘時，系統也會彈窗提示用戶。而蘋果官方要求APP開發者在開發過程中就要申明權限。

　　記者發現，在蘋果手機上，有“播放/暫停”按鈕的APP，如果要調用錄音功能，必須通過界面才能啟動，無法從后臺操作。

　　側信道還原偷聽正確率高達90%

　　還有一種偷聽方式并不是直接偷取語音。鄧舒指出，側信道技術還原是指在用戶不知情的情況下，通過手機中的其他傳感器來獲取數據，再利用深度學習等技術，將數據恢復成語音數據。今年，浙江大學、多倫多大學、麥吉爾大學團隊共同發表了一項關于手機竊聽的研究成果：APP可以在用戶毫不知情的情況下，利用智能手機內置的加速度計傳感器竊聽，理論上的識別正確率高達90%。

　　這就是最近比較熱門的名為“加速度計偷聽”攻擊方式，即基于深度學習加速度傳感器信號的新型“側信道偷聽”攻擊。原理是利用揚聲器發出的聲音震動信號、加速器數據，轉換為語音的工作流。鄧舒指出，加速度計等傳感器并不受操作系統的權限控制，且任何APP都可申請使用，因此是可實現的偷聽方式。但由于這種技術門檻高，需要深度學習模型的建立、訓練以及排除環境干擾因素影響等，因此在非實驗室環境下很難被有效使用。也就是說，盡管是可行的，但用戶也不必過于擔心。

　　突破系統權限實現偷聽確有可能

　　在網絡上，可以找到宣稱能夠提供電話監聽、環境監聽、電話呼叫與VoIP錄音等“間諜”功能的APP。鄧舒以一款國外的APP為例，說明有些APP可以在非越獄的安卓手機和越獄后的蘋果手機中安裝，達到偷聽的目的。

　　鄧舒指出，這類APP主要是通過突破手機操作系統限制，繞開系統提供的函數，直接調用硬件功能，以實現錄音、拍照等目的。要做到這一點需要兩個條件：一是手機廠商對APP開放特殊權限;二是利用系統漏洞、安裝惡意程序等方式。但無論哪種方式，難度及成本都非常高。

　　而“間諜”APP的售賣和運營都屬于違法行為，APP開發者、運營者、使用者都將面臨被追究法律責任的巨大風險。

　　鄧舒認為，偷聽雖然在技術上有可行性，但技術門檻、商業成本和法律風險都很高，因此，如果只是基于廣告營銷、定向推送等日常運營的目的，APP運營者基本不會去做。

　　鄧舒指出，用戶之所以常常會有被偷聽的感覺，大概率是諸如“大數據畫像”“標簽共享”“精準推送”等技術導致的結果。但偷聽的風險依然存在，還有未知的技術和機制需要進一步研究。

　　多種方式有效防止智能手機偷聽

　　偷聽即便是極小概率事件，也是用戶非常擔心的重大隱私保護問題。因此，鄧舒建議用戶采取措施，有效防止偷聽。一是更新手機操作系統到最新版本;二是如非必要，不授權長期開啟麥克風、攝像頭等權限，可選擇采取一次一授權等方式;三是通過手機操作系統的權限管理等功能一次性關閉麥克風、攝像頭等權限，如APP在合理的場景下需要開啟時再單獨授權;四是如果APP強制要求開啟“麥克風、攝像頭”等權限，否則不讓使用瀏覽等基本功能，或不讓使用與上述權限無關的其他功能，則不要使用該APP，還可向“APP個人信息舉報”公眾號進行舉報。

　　對于智能手機操作系統開發商和手機廠商來說，一是要進一步完善透明化機制，防止惡意APP在用戶不知情時濫用系統權限;二是完善手機軟硬件安全機制設計，提升系統安全性和缺陷利用難度(如側信道)，避免被惡意利用;三是主動跟蹤關注系統漏洞信息，及時發布安全補丁，并提醒用戶更新。

　　談及偷聽、自啟動等曾被網友熱議的問題，何延哲表示，近些年，通過網絡安全宣傳周等活動的宣傳科普，老百姓的舉報越來越專業，這也順應了“網絡安全靠人民”的國家網絡安全周的主題。