支付寶用戶(hù)隱私爭(zhēng)議問(wèn)題大揭秘：到底要不要穿褲子？

Apple Pay刷屏之后，一輪對(duì)支付寶安卓版漏洞的討伐也開(kāi)始了。微博和Twitter上都出現(xiàn)了“支付寶涉嫌收集用戶(hù)隱私”的消息，作者是Typcn，據(jù)知乎上資料稱(chēng)其曾因?yàn)?2306泄密事件在CCTV出現(xiàn)。

質(zhì)疑者聲明如下：

以上圖片相信大部分非技術(shù)的同學(xué)看不懂，素以我招人來(lái)翻譯一下：在安卓系統(tǒng)中，支付寶調(diào)用了拍照和錄音的權(quán)限，并且在后臺(tái)運(yùn)行。并且有建立一個(gè)隱蔽的文件夾，每隔幾秒鐘就會(huì)偷偷調(diào)用用戶(hù)的攝像頭以及錄音，形成圖片、語(yǔ)音資料并且悄悄上傳。

這個(gè)結(jié)果引起很多用戶(hù)的恐慌，聲稱(chēng)要卸載支付寶，甚至開(kāi)始討論到底在用支付寶的時(shí)候要不要穿褲子？會(huì)不會(huì)在自己完全不知道的情況下，自己的照片、聲音都被錄音上傳到支付寶的服務(wù)器？這樣的話(huà)，還有沒(méi)有隱私可言？

支付寶答復(fù)如下。

大意是，支付寶確實(shí)需要拍照權(quán)限和語(yǔ)音權(quán)限，前者在掃描二維碼的時(shí)候需要，后者在聊天的時(shí)候需要。而且支付寶確實(shí)需要在后臺(tái)運(yùn)行，因?yàn)樾枰恢眉磿r(shí)通訊。這點(diǎn)跟微信的運(yùn)作原理是一樣的。

當(dāng)然，Typcn不會(huì)那么輕易放過(guò)支付寶。他回復(fù)：

到底誰(shuí)說(shuō)的有理呢？我咨詢(xún)過(guò)3位來(lái)自不同且與支付寶無(wú)利益關(guān)聯(lián)的技術(shù)童鞋，其中一個(gè)來(lái)自支付寶競(jìng)品公司，另外結(jié)合山寨發(fā)布會(huì)討論的信息，基本厘清了這個(gè)邏輯，現(xiàn)在分享如下。

1、在本次交鋒中，質(zhì)疑者利用了公眾對(duì)數(shù)據(jù)隱私問(wèn)題的恐慌，成功用大家都不太看得懂的技術(shù)解讀，使很多人對(duì)支付寶的信任產(chǎn)生動(dòng)搖。而其中關(guān)于支付寶隨時(shí)拍照上傳的做法更讓很多人不寒而栗，由此引發(fā)用支付寶要不要穿褲子的解讀?？陀^上為Apple Pay背書(shū)。

2、問(wèn)題在于，Typcn提供的資料證明，支付寶后臺(tái)運(yùn)行，調(diào)用拍照和錄音權(quán)限，都可以得到完全合理的解釋。在最關(guān)鍵的，支付寶有沒(méi)有經(jīng)常拍照并且上傳，這個(gè)問(wèn)題上，只是提出了一個(gè)假設(shè)，但并沒(méi)有拿出實(shí)際的證據(jù)。

其推論的原理類(lèi)似于，有一個(gè)人很有錢(qián)，并且在下午瀏覽的草榴，雖然沒(méi)有證據(jù)，但他晚上就是去找小姐了。如果這個(gè)人沒(méi)有找小姐，那么你得找出自己沒(méi)有找的證據(jù)。

3、有人提到，支付寶為何不公布自己的數(shù)據(jù)包？如果支付寶公布每天到底從安卓手機(jī)中收到哪些信息，就可以自證清白了。但是，這種方法也說(shuō)不通，首先，數(shù)據(jù)包本身就不應(yīng)該被公開(kāi)，涉及公司機(jī)密。另外，就算公開(kāi)一個(gè)數(shù)據(jù)包，可能又該面臨數(shù)據(jù)真假的質(zhì)疑。

本輪質(zhì)疑提到的一個(gè)點(diǎn)就是，支付寶歷史上的某一個(gè)版本會(huì)導(dǎo)致出現(xiàn)莫名拍照聲音，那就是支付寶偷偷拍照的證據(jù)。但是我問(wèn)了周?chē)沧坑脩?hù)，都沒(méi)有聽(tīng)到過(guò)。而且質(zhì)疑者也提到，支付寶完全可以修改其在云計(jì)算上信息，對(duì)外發(fā)布一個(gè)完全清白的證據(jù)，意思就是，支付寶無(wú)法自證清白。

相當(dāng)于，那個(gè)看草榴的人是個(gè)技術(shù)專(zhuān)家，就算他提供小區(qū)的攝像頭證據(jù)自己沒(méi)找小姐，也可能是他黑了系統(tǒng)之后自己篡改的。

所以結(jié)論是，支付寶無(wú)法在技術(shù)上自證清白。那么只能從動(dòng)機(jī)上來(lái)說(shuō)，支付寶有沒(méi)有動(dòng)機(jī)來(lái)偷偷拍照上傳？

4、結(jié)論是真的沒(méi)有。大部分人的手機(jī)長(zhǎng)期在口袋里，5秒一張照片大部分都是黑乎乎的口袋吧。支付寶后來(lái)采集這些大量的，需要占用很大的內(nèi)存，但無(wú)法從中挖掘價(jià)值的照片數(shù)據(jù)，完全是沒(méi)有必要的。

5、結(jié)論是，在本輪交鋒中，質(zhì)疑者沒(méi)證據(jù)證明支付寶作惡，支付寶也沒(méi)能力自證清白來(lái)洗刷自己。因此引發(fā)的其他支付產(chǎn)品是否更安全以及要不要穿褲子這些可以告一個(gè)段落了。

6、另外，阿里競(jìng)品的技術(shù)同學(xué)對(duì)此表示，這次爭(zhēng)議是在煽動(dòng)無(wú)知群眾，冤枉好人。但是大部分看到隱私覺(jué)得不安的同學(xué)并不一定愿意看并能看懂辟謠文章。這個(gè)只能祝支付寶躺槍安好了。

文末彩蛋，阿里巴巴的安全專(zhuān)家坐不住了，提出要用10萬(wàn)元現(xiàn)金挑戰(zhàn)質(zhì)疑者。鏈接如下：

http://zhuanlan.zhihu.com/justnow/20595834?from=timeline&isappinstalled=0

感謝虎嗅蔡老師提醒，這個(gè)帖子本身并未就挑戰(zhàn)規(guī)矩做詳細(xì)的說(shuō)明，所以攻城獅同學(xué)在挑戰(zhàn)之前一定要請(qǐng)作者再次劃個(gè)道道出來(lái)，說(shuō)的清清楚楚到底要如何才算過(guò)關(guān)。

全世界人民都知道阿里巴巴的老員工身價(jià)豐厚，如果他輸了，相信不會(huì)賴(lài)賬的。嗯，恭喜發(fā)財(cái)。

聲明，我的研究和結(jié)論都僅僅局限于本次事件的分析，相信這種PK還會(huì)持續(xù)出現(xiàn)，期待下一輪。