【官方澄清】支付宝隐私门：安卓版会拍照和录音但不会泄露隐私 - 爱应用
合作帐号登录：
你确定要退出吗？
支付宝隐私门：安卓版会拍照和录音但不会泄露隐私
Update：支付宝回应“暗中启用摄像头”：功能需要，不会泄露隐私针对“支付宝安卓版隐私门”，支付宝刚刚作出回应表示，支付宝客户端只申请业务需要的权限，不会做出额外的信息采集和后台操作，更不会侵犯泄露任何用户的隐私信息。其中调用摄像头和录音等权限也是功能需要，不会出现所谓“每隔 X 分钟就会暗中拍照、录音上传服务器”，另外网友提到的客户端启动会打断手电筒是由于权限申请触发机制所致，并非真正启用摄像头。目前智能手机已经成为人们日常生活中不可分割的一部分，而支付宝、微信这类常用的应用几乎每款智能手机都有安装，不过你能想到这些常用应用除了原本的功能之外，还在偷偷记录你的生活吗？昨日，曾经爆出 12306 泄密事件的用户 typcn 在推特爆出“支付宝 Android 版隐私门”，称支付宝安卓版每隔 X 分钟，会在后台启动摄像头拍照，录音 X 秒，然后上传到服务器上，同时也会有通讯录、通话记录，附近基站和 WiFi 等信息。同时，typcn 抛出一个支付宝的 APK 包，称这个版本的支付宝在登录时，会发出咔擦的一声，这是支付宝在偷偷拍照时忘记关掉声音，但现在支付宝已经禁止了这个版本的登陆。另外，typcn 反编译支付宝代码的过程中发现，xPrivacy 看到的支付宝偷拍过程很高端：发出后，短时间内就获得了大量的跟帖，typcn 的说法得到了大量用户的跟进和证实。有网友提供图片，暴露了支付宝拍照的过程。在 2 月 9 日，该用户没有使用支付宝的情况下：“startPreview 会开启摄像头，就是你拍照之前的相机的那个预览画面。setPreviewDisplay 是设置预览的 view，他可以设置成一个 1x1 像素的区域，也可以搞个透明的悬浮窗？（未测试），也可以瞬间拍完了就隐藏。”总结如下：1.有匿名用户发布自己的手机截图，称在没有任何操作的情况下，每打开一次支付宝，摄像头和录音的权限调用次数都会 +2。2.从权限监控日志看，确实每隔几个小时，支付宝就会发起一轮请求，每个权限都想要。3.摄像头权限是循环获取的，只要用户拒绝就不断弹，并不清楚是做什么用途。也有用户提供不同说法称，之所以不断调取拍照和录音功能，“是因为支付宝开发可能是希望在实际使用摄像头或者录音的 case 之前先预授权，以免在后续正常使用时被拦截”；不过“个人感觉支付宝这种做法欠妥，应该在实际使用的 case 下再去申请权限，这个提前授权带来的体验优化其实是有限的。”预先申请权限并不存在？随后这种说法被否定。一名安卓开发的从业者表示：安卓上的软件并不需要预先申请权限，当安卓手机弹出申请摄像头权限窗口时，软件已经在尝试打开摄像头了。打个比方，安卓上的权限就像房子的一扇一扇门，这些门在房子建好的时候（软件安装成功）已经固定下来了。一般情况下，当房子建好之后，这些门都是打开的，房子里的人（软件本身）可以随意经过这些门，进入门另一端的房间拿取东西（比如进入短信软件里询问短信数据）。权限管理工具则给有些门上了锁，只有当房子里的人试图穿过这些门时，权限管理工具才会拦截它，如果被允许，则放行，如果被拒绝，则告诉房子里的人，你不能过去。默认情况下，如果你确认安装，说明你允许软件在任何时候使用它声明的所有权限。所以安卓本身的机制里（Android 6.0 以下），并不需要在实际使用权限时再次申请权限，不存在说软件可以提前申请自己暂时还不需要的权限。（Android 6.0全球使用率过低，不做讨论）同时，该用户指出，除了支付宝以外，QQ 也会在非活动时调用摄像头：目前关于此事并没有定论，争论主要集中在，为什么在刷新闻、聊微信、玩游戏的时候，支付宝会不断的弹窗索要摄像头和录音的权限。不过也有用户认为，作为使用频繁的支付工具，支付宝频繁调用摄像头和录音工具无可厚非，毕竟与钱的安全相关。此前，支付宝更新了 9.0 版本后，因关闭手势密码，被网友疯狂吐槽，质疑其安全性。彼时，支付宝回应称，支付宝已经拥有完善的大数据风控体系来判别用户行为，“即使被盗取了密码，非本人也无法使用支付宝”。目前支付宝并没有对此事进行回应。
分享拿水滴
共0张，还能上传5张（按住ctrl可选择多张）
热度:64588
热度：111967
热度：90579
热度：60385
热度：31798
热度：32362
热度：40122
热度：130606
热度：64724
热度：31341
热度：157222安卓系统曝致命漏洞：克隆支付宝账户
安卓系统曝致命漏洞：克隆支付宝账户
[导读]攻击者向用户发短信，用户点击短信中的链接，用户在自己的手机上看到的是一个真实的抢红包网页，攻击者则已经在另一台手机上完成了克隆支付宝账户的操作。账户名用户头像完全一致。
　　随着新年到来，小伙伴们开始频繁地收发红包，有朋友间的互送，也有商家的推广活动。
　　可你有没有想过，哪天当你点开一个红包链接，自己的支付宝信息瞬间在另一个手机上被“克隆”了？而别人可以像你一样使用该账号，包括扫码支付。
　　这种克隆攻击到底有多大危害？大家又该怎样防止被克隆呢？
　　就在9号下午，一种针对安卓手机操作系统的新型攻击危险被公布，这种“攻击”能瞬间把你手机的应用，克隆到攻击者的手机上，并克隆你的支付二维码，进行隐蔽式盗刷。
　　瞬间克隆手机应用 花你的钱不用商量
　　攻击者向用户发短信，用户点击短信中的链接，用户在自己的手机上看到的是一个真实的抢红包网页，攻击者则已经在另一台手机上完成了克隆支付宝账户的操作。账户名用户头像完全一致。
　　央视财经记者在现场借到了一部手机，经过手机机主的同意，记者决定试一下“克隆攻击”是不是真实存在。
　　记者发现，中了克隆攻击之后，用户这个手机应用中的数据被神奇地复制到了攻击者的手机上，两台手机看上去一模一样。那么，这台克隆手机能不能正常的消费呢？记者到商场进行了简单的测试。
　　通过克隆来的二维码，记者在商场轻松地扫码消费成功。记者在被克隆的手机上看到，这笔消费已经悄悄出现在支付宝账单中。
　　因为小额的扫码支付不需要密码，一旦中了克隆攻击，攻击者就完全可以用自己的手机，花别人的钱。
　　网络安全工程师告诉记者，和过去的攻击手段相比，克隆攻击的隐蔽性更强，更不容易被发现。因为不会多次入侵你的手机，而是直接把你的手机应用里的内容搬出去，在其他地方操作。和过去的攻击手段相比，克隆攻击的隐蔽性更强，更不容易被发现。
　　“应用克隆”有多可怕？
　　“应用克隆”的可怕之处在于：和以往的木马攻击不同，它实际上并不依靠传统的木马病毒，也不需要用户下载“冒名顶替”常见应用的“李鬼”应用。
　　腾讯相关负责人比喻：“这就像过去想进入你的酒店房间，需要把锁弄坏，但现在的方式是复制了一张你的酒店房卡，不但能随时进出，还能以你的名义在酒店消费。”
　　腾讯安全玄武实验室研究员王永科表示，攻击者可以在他的手机上完全地操作账户，包括查看隐私信息，甚至还可以盗用里面的钱财。
　　智能手机，在我们生活中扮演的角色越来越重要。我们的手机里不仅有我们的个人信息，还能实现预定、消费、甚至支付等各种活动。这种克隆攻击有多大危害？大家又该怎样防止被克隆呢？
　　腾讯安全玄武实验室负责人于旸介绍，攻击者完全可以把与攻击相关的代码，隐藏在一个看起来很正常的页面里面，你打开的时候，你肉眼看见的是正常的网页，可能是个新闻、可能是个视频、可能是个图片，但实际上攻击代码悄悄的在后面执行。
　　专家表示，只要手机应用存在漏洞，一旦点击短信中的攻击链接，或者扫描恶意的二维码，APP中的数据都可能被复制。
　　腾讯经过测试发现，“应用克隆”对大多数移动应用都有效，在200个移动应用中发现27个存在漏洞，比例超过10%。
　　腾讯安全玄武实验室此次发现的漏洞至少涉及国内安卓应用市场十分之一的APP，如支付宝、饿了么等多个主流APP均存在漏洞，所以该漏洞几乎影响国内所有安卓用户。
　　目前，“应用克隆”这一漏洞只对安卓系统有效，苹果手机则不受影响。另外，腾讯表示目前尚未有已知案例利用这种途径发起攻击。
　　现场展示：
　　攻击者向用户发一个短信，包含一个链接，用户收到了短信，点击一下短信中的链接，用户看起来是打开了一个正常的携程页面，此时攻击者已经完整的克隆了用户。所有的个人隐私信息，这个账户都可以查看到的。
　　就在昨晚，国家信息安全漏洞共享平台发布公告称，安卓WebView控件存在跨域访问漏洞。网络安全工程师告诉记者，如果现在把安卓操作系统和所有的手机应用都升级到最新版本，大部分的应用就可以避免克隆攻击。
　　用户如何进行防范？
　　普通用户最关心的则是如何能对这一攻击方式进行防范。知道创宇404实验室负责人回答本报记者提问时表示，普通用户的防范比较头疼，但仍有一些通用的安全措施：
　　一是别人发给你的链接少点，不太确定的二维码不要出于好奇去扫；
　　更重要的是，要关注官方的升级，包括你的操作系统和手机应用，真的需要及时升级。
　　漏洞：尚未形成危害就被捕捉
　　一个令人吃惊的事实是，这一攻击方式并非刚刚被发现。腾讯相关负责人表示：“整个攻击当中涉及的每一个风险点，其实都有人提过。”
　　那么为什么这种危害巨大的攻击方式此前却既未被安全厂商发觉，也未有攻击案例发生？
　　“这是新的多点耦合产生的漏洞。”该负责人打了一个比喻，“这就像是网线插头上有个凸起，结果路由器在插口位置上正好设计了一个重置按钮。“
　　网线本身没有问题，路由器也没有问题，但结果是你一插上网线，路由器就重启。多点耦合也是这样，每一个问题都是已知的，但组合起来却带来了额外风险。”
　　多点耦合的出现，其实正意味着网络安全形势的变化。硬币的一面是漏洞“联合作战”的“乘法效应”，另一面则是防守者们形成的合力。
　　在移动时代，最重要的是用户账号体系和数据的安全。而保护好这些，光搞好系统自身安全远远不够，需要手机厂商、应用开发商、网络安全研究者等多方携手。
千家智客微信公众号
扫描下方二维码，关注千家智客微信公众号（qianjiacom），随时随地知晓智能行业天下事！
编辑：邱婷丽
100/100字符
全部评论（0）
千家智客APP
千家智客客户端
在这里，读懂智能行业！信息管理系统手机支付宝系统_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
信息管理系统手机支付宝系统
阅读已结束，下载本文需要
想免费下载本文？
定制HR最喜欢的简历
下载文档到电脑，方便使用
还剩18页未读，继续阅读
定制HR最喜欢的简历
你可能喜欢支付宝隐私门：不要让信息安全成为狼来了的故事
稿源：百度百家
我发现一个有意思的现象：如果互联网上没什么大事儿，一旦某款知名应用出现隐私安全类问题，就会很受关注。今天轮到了支付宝安卓版『隐私门』。
如果只是说支付宝会提前申请获取手机的拍照和录音权限，倒不会受到很多关注，关键是爆料人声称，支付宝还会暗自调用拍照和录音，然后直接将你的照片或者声音上传到服务器&这个问题就大了。
Android应用滥用用户权限一直都是个问题，一个预报天气的应用都要拿到你的摄像头权限，不过，这些权限都是经过用户同意才给的（不过这就像互联网企业注册时的用户协议一样，除了撰写者认真看过的人不多），理论上不能怪App开发者，道德上可谴责其太贪心，尤其是不管三七二十一，什么权限都先占着的开发者。
这类问题现在大家懒得讨论了，因为见怪不怪，讨论了这么多年也没啥结果，也没啥后果。申请拍照和录音权限，支付宝并不算贪心，扫一扫付款、给好友发语音要用到，爆料者反映的问题主要有两个：
1、支付宝在启动时就触发了相应权限，是否有必要？支付宝官方解释时，这是为了用户体验着想，因为Android6.0以下系统没有标准的权限提示和检查接口，支付宝为了避免在用户扫一扫或者发语音时再提示中断体验，所以事先激发。
2、支付宝会每隔X分钟自行启动摄像头拍照（而且是利用预览窗口截图），录音X分钟，还有人说启动支付宝时听到了『喀嚓』一声，更可怕的是，支付宝将照片和录音还上传到服务器了。证据是一些反编译代码。不过截至目前，我个人都没看到有说服力的证据，而支付宝对此回应是：这是毫无根据的造谣（见文末）。
我个人看法是，第一点关于权限调用时间点的指责，支付宝的做法是否妥当，是否还有最优解，值得商榷&&就算不侵犯用户隐私，让用户迷惑、担忧也是不好的，一款支付为核心的工具，安全可信赖才是第一位的。
不过，对于第二点，我认为从动机和常理来看，是不可能的事情。
第一，这些数据没任何价值，没动机。
在你启动支付宝时录下的声音、拍下的照片对于支付宝来说究竟有什么价值？就算它想拿到尽量多的大数据，也不需要这些错乱的数据，这些数据不会对业务带来任何价值。如果说支付宝个别开发人员有偷窥癖，我也不信，个人开发者可能会这样干，但大公司都有代码审计流程。
第二，如果这些数据有价值，风险也太大。
就算这些数据确实有价值，支付宝拿到有用，但直接用这种方式去获取数据，被发现并证实了后果还是很严重的&&过去中国互联网应用隐私类问题不少，但还没有过如此夸张的问题。
第三，会不会是程序漏洞造成的无心之失呢？
携程之前的信用卡漏洞，确实比较严重，拿到了不该拿的信息，但这不是故意的，类似的还有CSDN等网站的明文密码问题，这类问题一说一堆，都是疏忽大意造成了隐私问题。但支付宝如果真的会定时拍照和录音还上传到服务器，是不可能由漏洞造成的，这需要比较复杂的编程和服务器端的配合，如果这样干，一定不是疏忽大意，而是有意为之。但从动机来看，实在想不到它会这样干的理由。
总之，我并不相信支付宝会悄悄拍照和录音上传。
不过，不是每个用户都会像我这样去分析，所以朋友圈已经有不少用户，甚至科技圈内的用户都在以讹传讹，而且一些还义愤填膺上来要支付宝证明自己没有偷偷拍照和录音并上传。但稍微有点法律常识的都知道，这是无法证明的事情，法律上我们反对有罪推定，对于企业恐怕也不能要其证明其无罪。阿里巴巴永远无法证明双十一的数据没有水分，道理都是一样的。
事实上，支付宝这个事情，在互联网再熟悉不过了，每一次出现安全漏洞、隐私问题，都是一堆用户疯狂转发，但回过头来看，真正出现严重问题的又有几次呢？去年底，趋势科技说百度有个漏洞会给一亿部安卓手机带来安全风险，最后证明这是夸大其词。
鉴于安全问题可能会带来严重后果，再怎么强调也不过分，但要注意到一个事实是，很多安全问题被夸大了，不论是HTTPS还是某邮箱数据泄露，后果其实并没有那么严重，最初却被一些人夸大为影响全网用户、夸大为严重威胁。很多时候说安全问题，或者隐私问题，都是『狼来了』的故事，有人告诉我们狼来了，最后浪没有来。
我并不反对对互联网巨头的应用进行监督、发现和公布，这样做是对的，也是值得致敬的，不论是督促企业加强安全意识、加大安全投入还是引导用户更关注自己的隐私，有百利而无一害，近日苹果与FBI斗法保护用户隐私的行为更是受到全球用户赞许，体现了普世价值。
不过，我也非常反对出于各种目的『夸大问题』的做法，就像狼来了的故事，无关痛痒的问题报告太多了，只会让大家麻木。
文章：50篇人气：36301
媒体专栏作者，罗超（luochaotmt）
本网页浏览已超过3分钟，点击关闭或灰色背景，即可回到网页支付宝9.2新增了哪些功能？iOS版支付宝9.2新功能介绍_电脑百事网
手机扫描二维码
支付宝9.2新增了哪些功能？iOS版支付宝9.2新功能介绍
www.pc841.com
支付宝现在已经成为我们生活中不可或缺的一部分了，让转账付款更方便，现在支付宝9.2又有新内容啦，不得不说这次的更新着实让人惊喜，不仅增加了阅后即焚更好的保护了隐私，还有生活圈，让你随时分享视频和照片，想知道还有哪些更新内容吗？赶紧跟小编一起来看看吧。支付宝9.2更新内容：1、国际化的支付宝，支持简体中文、繁体中文、英文3种语言切换；2、增加生活圈，支持将视频和照片分享给朋友；
3、聊天增加「阅后即焚」，不再惧怕说错话；4、页面布局优化，「卡券」功能移至首页，「我的信息」移至「财富」；5、适配iPhone 6s/6s Plus，增加3D Touch操作。
&#-07-08 23:29&
&#-09-19 11:11&
&#-11-18 11:06&
&#-12-06 08:13&
&#-01-12 14:46&
&#-08-11 16:29&
加载更多内容
掌握最新科技资讯，带来最新手机评测，手机技巧和电脑技巧。}