獨家:馬化騰迴應微信“偷窺”相冊

出品 | CSDN(ID:CSDNnews)

針對早前微信被爆在後臺反覆讀取用戶相冊的事件,1 月 5 日,馬化騰獨家迴應:“應該是 21 年 10 月的事了,圖片緩存加速造成的誤會,後面應該用 iOS 新的解決卡頓的 API 解決了。”並特別表示,“可以幫忙闢謠”。

2021 年 10 月 8 日,數碼博主、軟件開發工程師 @Hackl0us 發表微博稱包括微信等在內的多款國民級 App 在後臺反覆讀取用戶相冊。當時,iOS 15 上新隱私特性「記錄 App 活動」,Hackl0us 的朋友將其開啓,而後對所有 App 的隱私讀取行爲進行了 7 天的監控,並使用 App Privacy Insights 對記錄進行讀取。由此發現,微信在用戶未主動激活 App 的情況下,在後臺數次讀取用戶相冊,每次讀取時間長達 40 秒 至 1 分鐘不等。

圖源:https://weibo.com/2480678791/KBLLsdRNW

自此,一石激起千層浪,直接衝上了微博熱搜。隨後,微信官方團隊迴應稱,當用戶授權微信可以讀取“系統相冊權限”的前提後,爲便於用戶在微信聊天中按“+”時可以快速發圖,微信使用了該系統能力,使用戶發送圖片體驗更快速流暢。微信指出,上述行爲均僅在手機本地完成,最新版本中其將取消對該系統能力的使用,優化快速發圖功能。

微信面世至今,已走過了十餘年的時光,據騰訊發佈的 2023 年第三季度財報顯示,微信及 WeChat 合併月活賬戶數已高達 13.36 億,穩坐“國民第一社交 App”的寶座。

一旦有隱私安全問題,其影響範圍之廣,不言而喻。

彼時,在經過微信官方迴應之後,此事即告一段落,但這一疑問並沒有得到徹底的消除,CSDN 在就此事件諮詢安全專家時,其表示,微信的這一事件,“根本的原因是因爲在功能設計層面,微信在當時應該是在安全上沒有做到充分設計。在正常的軟件工程流程裡,功能設計時就應該引入相關安全設計,除了解決軟件本身的安全缺陷問題和攻擊面暴露情況之外,還應該在隱私權限這一部分去做設計,最起碼要遵循權限最小化和非必要不採集的原則,規避觸犯隱私保護法等相關的法律法規的情況。當然,國內隱私保護這一部分立法相對較晚,再加上互聯網的軟件開發流程也存在諸多不完善的情況,後期通過完善流程和在設計階段引入隱私保護等安全設計,可以從根本上解決問題。”

對於馬化騰的迴應,安全專家表示,“在沒有證據出現之前,應該選擇相信騰訊,作爲一個上市公司,應該沒人願意拿企業信譽去賭這種事兒。”

如今在最新版本的 iOS 系統之下,筆者打開隱私報告進行測試,監測到微信會在用戶明確操作的前提下,對位置和相冊進行訪問,安全專家表示,今天隱私保護相較過去更爲完善,操作系統也爲用戶提供了更多的手段來保護用戶的隱私數據,當用戶覺得有問題時,可以拒絕或關閉相關權限。