独家:马化腾回应微信“偷窥”相册
出品 | CSDN(ID:CSDNnews)
针对早前微信被爆在后台反复读取用户相册的事件,1 月 5 日,马化腾独家回应:“应该是 21 年 10 月的事了,图片缓存加速造成的误会,后面应该用 iOS 新的解决卡顿的 API 解决了。”并特别表示,“可以帮忙辟谣”。
2021 年 10 月 8 日,数码博主、软件开发工程师 @Hackl0us 发表微博称包括微信等在内的多款国民级 App 在后台反复读取用户相册。当时,iOS 15 上新隐私特性「记录 App 活动」,Hackl0us 的朋友将其开启,而后对所有 App 的隐私读取行为进行了 7 天的监控,并使用 App Privacy Insights 对记录进行读取。由此发现,微信在用户未主动激活 App 的情况下,在后台数次读取用户相册,每次读取时间长达 40 秒 至 1 分钟不等。
图源:https://weibo.com/2480678791/KBLLsdRNW
自此,一石激起千层浪,直接冲上了微博热搜。随后,微信官方团队回应称,当用户授权微信可以读取“系统相册权限”的前提后,为便于用户在微信聊天中按“+”时可以快速发图,微信使用了该系统能力,使用户发送图片体验更快速流畅。微信指出,上述行为均仅在手机本地完成,最新版本中其将取消对该系统能力的使用,优化快速发图功能。
微信面世至今,已走过了十余年的时光,据腾讯发布的 2023 年第三季度财报显示,微信及 WeChat 合并月活账户数已高达 13.36 亿,稳坐“国民第一社交 App”的宝座。
一旦有隐私安全问题,其影响范围之广,不言而喻。
彼时,在经过微信官方回应之后,此事即告一段落,但这一疑问并没有得到彻底的消除,CSDN 在就此事件咨询安全专家时,其表示,微信的这一事件,“根本的原因是因为在功能设计层面,微信在当时应该是在安全上没有做到充分设计。在正常的软件工程流程里,功能设计时就应该引入相关安全设计,除了解决软件本身的安全缺陷问题和攻击面暴露情况之外,还应该在隐私权限这一部分去做设计,最起码要遵循权限最小化和非必要不采集的原则,规避触犯隐私保护法等相关的法律法规的情况。当然,国内隐私保护这一部分立法相对较晚,再加上互联网的软件开发流程也存在诸多不完善的情况,后期通过完善流程和在设计阶段引入隐私保护等安全设计,可以从根本上解决问题。”
对于马化腾的回应,安全专家表示,“在没有证据出现之前,应该选择相信腾讯,作为一个上市公司,应该没人愿意拿企业信誉去赌这种事儿。”
如今在最新版本的 iOS 系统之下,笔者打开隐私报告进行测试,监测到微信会在用户明确操作的前提下,对位置和相册进行访问,安全专家表示,今天隐私保护相较过去更为完善,操作系统也为用户提供了更多的手段来保护用户的隐私数据,当用户觉得有问题时,可以拒绝或关闭相关权限。