10 月 8 日,一条有关于微信的热搜 #微信在后台反复读取用户相册# 引发了不小的话题,一位用户利用 iOS / iPadOS 15 自带的「记录 App 活动」和应用「隐私洞见」发现微信会在未主动使用的情况下后台扫描用户的相册。这也让不少人担心自己的照片会被用于跟踪,甚至有可能会被意外泄露。
虽然微信也于当晚通过新浪科技作出了 回应,但我们也可以在自己的 iDevice 上查看已安装的 App 是如何使用自己数据的,也就是通过之前提到的 iOS / iPadOS 15 自带的「记录 App 活动」功能进行查阅,但它目前有一个小问题——不够直观。
虽然,WWDC 上提到「记录 App 活动」这个功能在稍后的 iOS / iPadOS 版本中将提供可视化图表,但是截至 iOS / iPadOS 15.1 beta 3 此功能仍未上线。这个功能目前已经可以导出纯粹的 json 格式,但 json 不利于普通用户进行数据分析,所以我们仍需借助「隐私洞见」才能进行可视化分析。
打开和存储「记录 App 活动」
在运行 iOS 或者 iPadOS 15 的 iOS 设备和 iPadOS 设备上,前往 设置 > 隐私 > 记录 App 活动
,并打开「记录 App 活动」右侧的开关。此时,你的设备会立即开始记录各个 app 的活动,你可以随时选择存储,设备会记录近 7 日内的各类隐私数据的 app 活动,包括相册、位置、麦克风、摄像头等等访问数据,还有这些 app 访问的网络 IP 或者域名。
打开后,下方会出现「存储 App 活动」的按钮。点击这个按钮,iOS 会将目前已经记录的活动保存成一个文件,并弹出分享菜单(这个过程可能会花上一点时间)。
把隐私访问数据导入「隐私洞见」
安装「隐私洞见」之后,在设置 > 隐私 > 记录 App 活动
中点击「存储 App 活动」,此时在弹出的共享菜单中选择「导入到隐私洞见」,在弹出的窗口中点击「导入」。在这个窗口中,还可以添加一些标注,可以酌情添加。
点击「导入」之后,所有数据都会导入这个 app。「隐私洞见」也会自动打开,显示提示「已导入」。此时点击「查看」按钮,即可查看本次存储的隐私活动数据。
要注意的是,目前 iOS 只能记录 7 天的 app 活动,因此,为了能够持续获得隐私报告,用户需要每 7 天将 App 活动报告导入到「隐私洞见」一次。
查看具体 app 的隐私访问数据
由于在 iOS 隐私报告中并不会出现 app 的具体名称,而是以标识符的形式呈现,「隐私洞见」通常会调用 iTunes API 访问 App Store 自动识别这些标识符;但如果没有自动识别,我们也可以手动对这些标识符进行识别,从而能够更清晰地看到这些 app 的真实名称。
以「Picsew」为例,我们点击 com.sugarmo.ScrollClip
后,点击「尝试识别」按钮,然后点击「我知道此应用的国家/地区」,在列表中选择你购买(获取)这个 app 的商店所在的国家 / 地区(在这里是「中国大陆」),也可以下拉进行搜索。此后,重新回到 app 列表,就可以看到这款 app 的图标、名称与开发者。
在 1.3 版本的「隐私洞见」中,你还可以设置这款 app 默认读取的 App Store 国家或地区,分为「首选」和「备选」,最大程度保证列表中的每一款 app 都可以自动识别。相关设置在 隐私洞见 > 设置 > iTunes API
中。
每个 app 的数据页都会显示一个总览,包括橙色的数字(即访问具体隐私项目,比如相册、摄像头、位置、麦克风等等的总次数)以及蓝色的数字(即访问网络活动的总条数)。点击下方「记录」一栏中的「访问记录」和「网络活动」可以分别查看两项记录的具体数据。
隐私数据访问记录
在「访问记录」中,我们可以见到某款 app 在什么时间做了什么事情。如果点进去,还可以看到它访问这项数据的具体情况,包括开始、结束与持续的时间;此外,还可以点击右上角的「All」对数据进行筛选。
以「支付宝」为例,2021 年 10 月 8 日早上 8:19,它调用了我的摄像头,持续时间为 1 秒。当时我正在扫码开单车,所以这项活动完全在我的意料之内。
相比之下,「微信」的活动则有点出人意料。目前我 iPhone 上的微信处于登出的状态,平常也不会打开使用,不过,我还是可以看到,2021 年 10 月 8 日下午 9:39,微信曾请求了我的定位,时间长达 10s;同一时间还访问了我的相册,时间长达 44s。
微信 10 月 8 日通过新浪科技作出了 回应,相关话题曾冲到微博热搜榜第 2 名。回应指出,「当用户授权微信可以读取『系统相册权限』的前提后,为便于用户在微信聊天中按『+』时可以快速发图,微信使用了该系统能力,使用户发送图片体验更快速流畅。上述行为均仅在手机本地完成,最新版本中将取消对该系统能力的使用,优化快速发图功能。」
然而,我对此还是持怀疑态度:我以为微信快速发图这个功能,是我点击「+」号的时候才对我的相册做读取操作;其实逻辑上来说,微信也并不需要在用户相册每次更新的时候读取数据。退一万步来说,就算相册更新的时候微信需要读取数据,它也不需要读取用户的当前位置数据;更不需要在用户已经登出的情况下读取任何数据。
至于该功能如何「优化」,还要待微信官方推出更新后进行测试才能知晓。
网络活动数据
在「网络活动」中,可以看到某款 app 在什么时间访问了哪些 IP 地址或者域名。以「飞书」为例,它在 2021 年 10 月 8 日下午 1:16 访问了某网站 4, 254 次。该网站是飞书的官方网站,这一活动很可能是完全正常的。
iOS 的权限管理建议
数据本身是冰冷的,它还是需要用户的解读。有些时候,app 访问隐私数据与网站是正常之举,我们无需担心;但是有些时候,它们的行为明显不太正常,这才需要使用类似「隐私洞见」的应用程序配合 iOS 的权限记录来进行分析。针对某些 app 的不太正常的隐私数据访问活动,你可以采取的行动包括:
- 关闭(或者部分关闭)app 的隐私数据访问权限。前往
设置 > 隐私
,可见到许多隐私项目,可以一一点进去进行自定义设置,可以选择打开或者关闭某些 app 的开关。特别地,针对照片访问,我们可以选择让某些 app 只访问相册中你选择的图片与视频。 - 关闭 app 后台刷新。在
设置 > 通用 > App 后台刷新
中,可以选择关闭部分 app 的后台刷新。这样,在你清理掉这个 app 的后台之后(即在 App 切换器中上划退出这个 app),它就会停止后台活动,即使有权限也无法访问你的数据。关闭后台刷新也不会影响即时聊天软件的消息推送。 - 善用系统级别的分享菜单。如果你还是担心某些 app 读取照片、文件等个人数据,还可以直接关闭它们访问这些数据的权限。如需发送照片或者文件,可以在「照片」或者「文件」app 中使用系统级的分享菜单,把想要的图片或者文件发送到这些 app 中。这将创建这个文件的一份拷贝,它只用于你所分享到的 app,而不会泄露其他的照片和文件,也(得益于 APFS 文件系统的特性)不会占用额外的设备存储空间。
- 卸载(而不是删除)app。iOS 提供卸载(而不是删除)app 的功能,可以在保留 app 用户数据的同时删除 app 本体的代码与文件,在需要时可以随时从 App Store 下载。在
设置 > 通用 > iPhone 存储空间
(也可能是iPad 存储空间
或者iPod 存储空间
)中,当 app 列表加载完成后,点击进入 app 空间使用详情页面,点击「卸载 App」(蓝色文字)。这样一来,app 也无法在后台访问任何隐私数据。
写在最后
iOS 丰富的隐私访问权选项为用户提供了比较全面的自定义权力,而 iOS 15 加入的这项新功能,更是为用户提供了透明而充实的隐私访问数据。这让用户对于各款 app 的活动情况了如指掌,也因此能够更好地通过各种手段,最大限度地防止某些流氓 app 侵犯隐私。
因此,我们很高兴看到 iOS 继 Android 之后,为用户提供了这一了解个人隐私数据情况的渠道,期待这一功能得到进一步的完善,以至于无需借助第三方工具进行数据统计与分析;也希望「科技向善」不仅仅是一句口号 —— 而是要各大科技与互联网公司拿出实际行动与具体措施,捍卫个人数据隐私这项用户的基本权利。
你可以在 App Store 下载「隐私洞见」,应用免费,且无内购。
> 下载 少数派 2.0 客户端、关注 少数派公众号,了解更多有趣的应用 🚀
> 实用、好用的 正版软件,少数派为你呈现 🚀