大意了!“窃取”聊天记录真凶竟是手机输入法,这四招防隐私泄露
“偷看聊天记录这事儿,不是我干的!”
上周的「微信公开课PRO」上,张小龙演讲中提到,微信经常收到「出卖用户聊天记录」的投诉——“微信你是不是暴露我们的聊天记录了,为什么你还是会在微信里面说过什么,等会就收到广告呢…”。
不过,张小龙对此予以了否认,然后说道:“并不是只有微信在处理你的信息… 基于这个出发点我们决定自己做一个输入法,来保护用户的隐私。”
啧啧… 这个“言外之意”很明显了,出卖我聊天记录的就是输入法了呗!
先甭管张小龙说“微信没出卖用户聊天记录”是真是假,他敢在公开场合“甩锅”输入法,看来输入法也难逃“偷窥”用户信息之嫌。
实际上,网上关于“输入法窃取用户隐私”的讨论并不少,无论是普通用户还是相关的从业人员,或多或少都有顾虑和担心,自己的私人信息会被输入法窃取。
输入法真的是窃取用户隐私的“罪魁祸首”?如果是,又该如何避免呢?
实锤了!就是输入法干的!
先来看看网友的“吐槽”。
“刚聊完,就被推荐”,这恐怕是用户最一致的感受了。
极果君也一样,经常在微信聊着要买某个东西,下午休息(划水)时打开购物App,就看到首页推荐就是刚刚聊的东西,不得不说,真的是很贴心很温暖了(生怕我忘了要买啥)!
真的是输入法在“送温暖”吗?极果君决定一探究竟…
于是,极果君用某安卓手机(此前从未安装过第三方输入法)下载了当前用户最多的4款第三方输入法,分别是搜狗输入法、百度输入法、QQ输入法,以及讯飞输入法。
一打开,一个“大号的提醒“便映入眼帘——“**输入法可能会收集您输入的所有文字,包括密码和信用卡号码等个人数据”。
这下,极果君对输入法的“怀疑”程度也就更深了一点;接着,极果君打开四款输入法的「用户隐私协议」从头到尾细致看了一遍,发现猫腻不少。
这四款输入法,其「用户隐私协议」都包含了“如何收集和使用您的个人信息”这一条,内容也比较全,包括了输入法会收集用户的详细信息类目(别着急,极果君会在后面详细说)。
以搜狗输入法为例,当你使用「云输入及联想」功能时,它就会收集你输入过“部分拼音串或文本内容”。大白话说就是,你输入所有文字包括拼音,他都会收集起来,然后来分析和预测你接下来可能需要输入的内容,好给你“智能化”地推荐。
这… 妥妥的实锤了?
还有更“狠”的…
当你用到搜狗输入法「智能回复」功能时,它还会读取你在聊天场景中的前文内容,然后“智能化”地推荐回复内容,来提高聊天效率。
怎么说?就是搜狗输入法会读取你的聊天记录!看来张小龙的“言外之意”没错了…
可是,也许有用户会说,它虽然看了聊天记录,但不一定会和“推荐商品”有关系啊?
别急,往下看。
这四款输入法的「用户隐私协议」中,无一例外地都包括了“个性化推送及广告展示”。
也就是说,输入法会根据用户的使用记录,包括浏览记录、搜索记录,以及用户的私人信息,来向用户推广告;不难想象,这些信息也包括了通过搜狗输入法「智能回复」功能(其他输入法也有类似功能)收集的聊天记录。
如此一来,也就不奇怪,为啥我们刚在微信中聊完“买半身裙还是连衣裙”后,购物App首页中的“猜你喜欢”就充满了各式各样的裙子…
从设备到位置、到聊天记录,输入法收集得一样不落…
那么,这些输入法到底会“光明正大”地收集用户哪些信息?
极果君把这四款「用户隐私协议」梳理了一遍,可以分成三类:
1. 详细设备信息
手机等设备型号,包括设备识别码(安卓ID、iOS广告标识符(IDFA)、IMEI、IMSI、Mac地址)、以及系统版本等等,收集这些信息,输入法们都美其名曰是——“是为了帮助其bug分析,来保障用户正常使用”。
看到这一条,极果君才明白,为啥经常聊完买手机壳,然后购物App就精准地推荐了我的手机型号,都不用担心搜索时不小心输错型号(因为不用输入
);
需要注意的是,如果用户不同意输入法获取设备信息,也就使用不了该输入法;其实,这一强制性的“霸王条款”在其他App中同样如此。
2. 用户输入内容
除了上文提到的聊天记录,还有通讯录、短信、剪贴板、语音信息、使用记录等信息,也在输入法的收集之列。
不难理解,输入法收集这些内容,都是为了让用户更快速的输入内容。比如,输入法会读取用户通讯录之后,当用户在在给好友发送某个联系人时,输入法会识别到并自动弹出该联系人。
事实上,这些几乎都是用户的个人隐私信息了。
3. 设备相关权限
这一点,与其他App无异,位置、摄像头、麦克风、存储、短信、相册、应用程序列表等权限作为用户的个人信息,输入法也“照收不误”,当然也是为了更精准地为用户提供候选词。
反之,如果用户不同意,也就使用不了相应的功能,直白点说,输入也就没那么方便了。
看到这里,也许你会和极果君一样产生疑问,就一个输入法而已,它收集那么多个人信息,到底要干啥?
其实很简单,从设备到位置、到聊天记录,输入法收集信息一样不落,就是为了建立专属于你的“个人云词库”,实现“所想即所得” —— 你一“开口”,它就知道你要“说”什么。
让用户输入更准确、更智能、更方便、更快捷,是输入法收集用户信息的目的。甚至,输入法们还随之推出了“用户体验计划”,收集并记录用户使用输入法各项功能的详细情况,来进行数据分析,提升用户体验。
可是,除了提升用户体验,它就不会“别有用途”吗?
不想泄露隐私?有4招可以“避坑”!
在极果君测试的四款输入法中,它们的「用户隐私协议」都提到了“不会识别具体文本内容”,看似没有风险,但潜在的“用户隐私泄露”却早有先例。
2016年5月,科技博主/网络安全专家@蒸米spark就针对“搜狗与百度输入法泄露用户隐私”这一问题做了研究,并发布文章《有些事你不记得了,输入法还帮你记得》来详细说了自己的“经历”。
根据@蒸米spark在文章中的测试结论,联网状态下,搜狗和百度输入法不但会上传用户的输入内容到服务器,而且全部使用明文传输,严重泄露用户隐私。这就意味着,你输入的任何内容,黑客都可以轻松看到,包括你的信用卡账号等私密信息。
让人不寒而栗… 要不是极果君看到这篇4年多以前的文章,极果君还天真地以为输入法收集用户信息最多也只是推送广告而已呢…
因此,极果君罗列了避免输入法“泄露隐私”的4个“绝招”分享给你。
- 尽量使用手机自带的输入法,比如iPhone自带的“键盘”功能,虽然比起第三方输入法,它过于简陋,甚至极不方便;但从第三方输入法潜在的“隐私泄露”风险来看,还是自带的更为稳妥;
- 使用的安卓手机没有自研的输入法的情况下(绝大多数厂商的输入法都是基于第三方输入法合作),可以考虑使用更为靠谱的第三方输入法;从用户评价来看,Google旗下的Gboard相对更安全,无需联网上传数据(也连不了网[狗头]);
- 若不得不使用第三方输入法,可以关闭“云词库”等会上传用户数据的功能、禁止其访问通讯录等授权(系统设置和输入法中都有详细的设置项)、不参加“用户体验计划”等;或者,直接禁止输入法App联网、事半功倍;
- 如果你还是离不开第三方输入法的“云词库”、“云端联想”、“智能回复”等方便快捷的功能,那就只能定期清理你的使用记录了,当然,对于信用卡号、密码等私密信息,还是得格外注意。
总之一句话,当我们在享受网络带来的便利时,付出的代价就是随之而来的“信息泄露风险”,同样,这也适用于其他App。
不过,极果君相信这些主流输入法相比4年前有所改善,如「用户隐私协议」中所说——“不会识别具体文本内容”。