找到了 iOS 被怀疑淘宝窃听的可能原因

2021-09-18 03:43:28 +08:00
 imlibra
之前这样的帖子一直不少,刚刚又听到了群里的朋友怀疑这一点,对方确定没有搜索或通过其他方法暴露关键词,就后台通过语音被推荐。

Siri 在中国的服务器实际上是基于阿里云的 (guzzoni.apple.com 39.102.96.186)。39.102.96.x 被我确定是一个阿里云 vps 的段。

虽然我不确定这个 siri 服务器有没有直接接触未加密的语音数据,或是语音数据被从设备上加密然后传送到苹果的其他地方。但根据 iOS 8 的 Siri 协议(那时候 Siri 还没有 SSL pinning ),语音数据是直接被这个服务器接触的,参考 https://www.theiphonewiki.com/wiki/Siri_Protocol

我通过抓包实验了一下,在路由器上 tcpdump 所有 443 端口,并且对着 iPhone 说了一些和 hey siri 语音上比较类似的话,比如一句话中包括”hey sir”等。以下为 tcpdump 记录,这个 IP 在说话时出现了多次: https://gist.github.com/imlibra/463c3890d4c7675f1c9580f043b25688

之后我还准备通过越狱绕过 SSL pinning 对最新的 Siri 协议做研究,以确认这一点。
9873 次点击
所在节点    分享发现
87 条回复
ospider
2021-09-18 09:34:22 +08:00
更有可能是输入法泄露的,建议使用系统自带输入法。另外现在不会再上传录音了,语音识别都是本地的。
woshipanghu
2021-09-18 09:45:03 +08:00
何止感觉淘宝监听你说话
百度 拼多多 都有
这个原因不成立
imlibra
2021-09-18 10:24:50 +08:00
@woshipanghu 如果是 iOS 上的话,可能是阿里通过广告联盟什么的共享了数据
imlibra
2021-09-18 10:30:35 +08:00
@elfive 通过苹果自己的 VPN 是没用的,因为 Siri 的流量完全不走 Network Extension
elfive
2021-09-18 10:37:18 +08:00
@imlibra #24 路由器全局……
XuanYuan
2021-09-18 10:40:02 +08:00
问题是,关了 Siri 不能 CarPlay……
flynnlemon
2021-09-18 10:51:48 +08:00
@imlibra 如果这是淘宝通过阿里云渠道得到的独家数据的话,你觉得多少钱,可以让它向竞对分享这些信息?
imlibra
2021-09-18 10:54:14 +08:00
@flynnlemon 这明明是王婆卖瓜,自卖自夸啊。
而且被拿去给相关部门训练声纹库也免不了了。
xz410236056
2021-09-18 10:54:49 +08:00
“在对数据进行处理时,Siri 会使用随机标识符,即与单个设备相关联的一长串字母和数字来跟踪数据,而不会通过你的 Apple ID 或电话号码将这些数据与你的身份相挂钩。我们相信,我们采用的这种流程在当今的数字助理中可谓是独一无二的。为了进一步保护你的隐私,在六个月后,设备数据便会与随机标识符解除关联。”


https://www.apple.com.cn/newsroom/2019/08/improving-siris-privacy-protections/
imlibra
2021-09-18 10:55:36 +08:00
@flynnlemon 淘宝和阿里云怎么可能是竞争对手,是同一家啊。
imlibra
2021-09-18 10:56:27 +08:00
@xz410236056 但是阿里可以非常简单的通过 IP 匹配,因为 Siri 的请求 IP 和淘宝客户端 IP 必然是相同的。
cydysm
2021-09-18 10:58:30 +08:00
反向思考一下 如果让你来实现这种精准推送(合规合法情况下),你会怎么去做
xz410236056
2021-09-18 11:08:23 +08:00
@imlibra
1 、没有公网 IP 的人怎么办?
2 、iOS15 中增加了隐藏 IP ( Safari 不知道 Siri 有没有)
imlibra
2021-09-18 11:14:26 +08:00
@xz410236056 那推送范围就广一点咯。
imlibra
2021-09-18 11:17:03 +08:00
@cydysm 这归根到底是苹果的错。Siri 语音数据这么敏感的东西,包括用户的私下谈话和日常生活,应该放在苹果自己的服务器去处理,至少用 AWS 和 Google Cloud 不是吗。

苹果不可能不知道把这些交给阿里云是什么结果吧?
cydysm
2021-09-18 11:27:55 +08:00
@imlibra 噢 我以为你不会选择监听这个做法(我其实想说监听很低效
cydysm
2021-09-18 11:28:46 +08:00
建议拿出更有力的证据吧
Regened
2021-09-18 13:14:00 +08:00
@imlibra #35
之前 tesla 和滴滴问题的时候工信部强调过:在境内运营中收集和产生的个人信息和重要数据应当按照有关法律法规规定在境内存储。需要向境外提供数据的,应当通过数据出境安全评估。

很显然用 AWS 或者 Google Cloud 的服务是不可能通过这类评估的,苹果这种极度遵守法规的企业,不可能为了保护用户的隐私去碰监管红线
mac20221225
2021-09-18 13:16:46 +08:00
我直接吧语音唤醒关了,用安键管理
imlibra
2021-09-18 13:48:42 +08:00
@Regened 但这么没有底线也可以吗?像 Siri 音频这样包括用户私人活动和聊天的东西,也可以给阿里吗?苹果不应该用 17 开头的自己的服务器去处理这些吗?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/802660

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX