支付寶隱私門：不要讓信息安全成為狼來了的故事

我發(fā)現(xiàn)一個有意思的現(xiàn)象：如果互聯(lián)網(wǎng)上沒什么大事兒，一旦某款知名應(yīng)用出現(xiàn)隱私安全類問題，就會很受關(guān)注。今天輪到了支付寶安卓版『隱私門』。

如果只是說支付寶會提前申請獲取手機(jī)的拍照和錄音權(quán)限，倒不會受到很多關(guān)注，關(guān)鍵是爆料人聲稱，支付寶還會暗自調(diào)用拍照和錄音，然后直接將你的照片或者聲音上傳到服務(wù)器…這個問題就大了。

Android應(yīng)用濫用用戶權(quán)限一直都是個問題，一個預(yù)報(bào)天氣的應(yīng)用都要拿到你的攝像頭權(quán)限，不過，這些權(quán)限都是經(jīng)過用戶同意才給的（不過這就像互聯(lián)網(wǎng)企業(yè)注冊時的用戶協(xié)議一樣，除了撰寫者認(rèn)真看過的人不多），理論上不能怪App開發(fā)者，道德上可譴責(zé)其太貪心，尤其是不管三七二十一，什么權(quán)限都先占著的開發(fā)者。

這類問題現(xiàn)在大家懶得討論了，因?yàn)橐姽植还郑懻摿诉@么多年也沒啥結(jié)果，也沒啥后果。申請拍照和錄音權(quán)限，支付寶并不算貪心，掃一掃付款、給好友發(fā)語音要用到，爆料者反映的問題主要有兩個：

1、支付寶在啟動時就觸發(fā)了相應(yīng)權(quán)限，是否有必要？支付寶官方解釋時，這是為了用戶體驗(yàn)著想，因?yàn)锳ndroid6.0以下系統(tǒng)沒有標(biāo)準(zhǔn)的權(quán)限提示和檢查接口，支付寶為了避免在用戶掃一掃或者發(fā)語音時再提示中斷體驗(yàn)，所以事先激發(fā)。

2、支付寶會每隔X分鐘自行啟動攝像頭拍照（而且是利用預(yù)覽窗口截圖），錄音X分鐘，還有人說啟動支付寶時聽到了『喀嚓』一聲，更可怕的是，支付寶將照片和錄音還上傳到服務(wù)器了。證據(jù)是一些反編譯代碼。不過截至目前，我個人都沒看到有說服力的證據(jù)，而支付寶對此回應(yīng)是：這是毫無根據(jù)的造謠（見文末）。

我個人看法是，第一點(diǎn)關(guān)于權(quán)限調(diào)用時間點(diǎn)的指責(zé)，支付寶的做法是否妥當(dāng)，是否還有最優(yōu)解，值得商榷——就算不侵犯用戶隱私，讓用戶迷惑、擔(dān)憂也是不好的，一款支付為核心的工具，安全可信賴才是第一位的。

不過，對于第二點(diǎn)，我認(rèn)為從動機(jī)和常理來看，是不可能的事情。

第一，這些數(shù)據(jù)沒任何價(jià)值，沒動機(jī)。

在你啟動支付寶時錄下的聲音、拍下的照片對于支付寶來說究竟有什么價(jià)值？就算它想拿到盡量多的大數(shù)據(jù)，也不需要這些錯亂的數(shù)據(jù)，這些數(shù)據(jù)不會對業(yè)務(wù)帶來任何價(jià)值。如果說支付寶個別開發(fā)人員有偷窺癖，我也不信，個人開發(fā)者可能會這樣干，但大公司都有代碼審計(jì)流程。

第二，如果這些數(shù)據(jù)有價(jià)值，風(fēng)險(xiǎn)也太大。

就算這些數(shù)據(jù)確實(shí)有價(jià)值，支付寶拿到有用，但直接用這種方式去獲取數(shù)據(jù)，被發(fā)現(xiàn)并證實(shí)了后果還是很嚴(yán)重的——過去中國互聯(lián)網(wǎng)應(yīng)用隱私類問題不少，但還沒有過如此夸張的問題。

第三，會不會是程序漏洞造成的無心之失呢？

攜程之前的信用卡漏洞，確實(shí)比較嚴(yán)重，拿到了不該拿的信息，但這不是故意的，類似的還有CSDN等網(wǎng)站的明文密碼問題，這類問題一說一堆，都是疏忽大意造成了隱私問題。但支付寶如果真的會定時拍照和錄音還上傳到服務(wù)器，是不可能由漏洞造成的，這需要比較復(fù)雜的編程和服務(wù)器端的配合，如果這樣干，一定不是疏忽大意，而是有意為之。但從動機(jī)來看，實(shí)在想不到它會這樣干的理由。

總之，我并不相信支付寶會悄悄拍照和錄音上傳。

不過，不是每個用戶都會像我這樣去分析，所以朋友圈已經(jīng)有不少用戶，甚至科技圈內(nèi)的用戶都在以訛傳訛，而且一些還義憤填膺上來要支付寶證明自己沒有偷偷拍照和錄音并上傳。但稍微有點(diǎn)法律常識的都知道，這是無法證明的事情，法律上我們反對有罪推定，對于企業(yè)恐怕也不能要其證明其無罪。阿里巴巴永遠(yuǎn)無法證明雙十一的數(shù)據(jù)沒有水分，道理都是一樣的。

事實(shí)上，支付寶這個事情，在互聯(lián)網(wǎng)再熟悉不過了，每一次出現(xiàn)安全漏洞、隱私問題，都是一堆用戶瘋狂轉(zhuǎn)發(fā)，但回過頭來看，真正出現(xiàn)嚴(yán)重問題的又有幾次呢？去年底，趨勢科技說百度有個漏洞會給一億部安卓手機(jī)帶來安全風(fēng)險(xiǎn)，最后證明這是夸大其詞。

鑒于安全問題可能會帶來嚴(yán)重后果，再怎么強(qiáng)調(diào)也不過分，但要注意到一個事實(shí)是，很多安全問題被夸大了，不論是HTTPS還是某郵箱數(shù)據(jù)泄露，后果其實(shí)并沒有那么嚴(yán)重，最初卻被一些人夸大為影響全網(wǎng)用戶、夸大為嚴(yán)重威脅。很多時候說安全問題，或者隱私問題，都是『狼來了』的故事，有人告訴我們狼來了，最后浪沒有來。

我并不反對對互聯(lián)網(wǎng)巨頭的應(yīng)用進(jìn)行監(jiān)督、發(fā)現(xiàn)和公布，這樣做是對的，也是值得致敬的，不論是督促企業(yè)加強(qiáng)安全意識、加大安全投入還是引導(dǎo)用戶更關(guān)注自己的隱私，有百利而無一害，近日蘋果與FBI斗法保護(hù)用戶隱私的行為更是受到全球用戶贊許，體現(xiàn)了普世價(jià)值。

不過，我也非常反對出于各種目的『夸大問題』的做法，就像狼來了的故事，無關(guān)痛癢的問題報(bào)告太多了，只會讓大家麻木。

微博@互聯(lián)網(wǎng)阿超 微信 羅超（luochaotmt）

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。