警惕这类黑产，近百万老年机被远程控制，每月莫名扣费……|聊什么就推什么，App偷听真的存在吗？

警惕这类黑产，近百万老年机被远程控制，每月莫名扣费……

在大多数人的观念里，“老人机”功能简单，不能上网购物、玩游戏，只能打电话、收短信，使用起来也相对安全。果真如此吗？

近期，江苏常州检察机关披露一起案件：当地不少老人机没有开通任何手机增值业务，却被自动订购增值服务，每月秘密扣取资费。警方接到报案后调查发现，这些老人机均被不法分子通过一款代码远程控制了。

初步统计显示，全国竟有98万部手机遭遇莫名扣费情况，金额高达500多万元。不法分子如何盯上老人机？

大量老人机被“自动订购”增值业务，涉案金额高达565万元

2023年2月，江苏省常州市公安局金坛分局接到多名老人及其家属报案，称在当地营业厅购买的老年人手机，在没有开通任何手机增值业务的情况下，每个月却额外产生6到10元不等的扣费，怀疑是手机中了病毒。

受害人家属姚先生表示，他母亲的老人机中大概充值了100元话费，但几天后电话又打不通了，姚先生便又向该手机充值100元。“我觉得这个话费可能有点儿不对，老人机就是接电话，又不打电话，打电话也都是用视频电话。”

警方提供的案件笔录

接警后，常州市公安局金坛分局立即对相关数据进行分析追踪，发现仅金坛区就有50多部老人机被人非法远程控制，“自动订购”了增值业务，而这些手机的网络数据都指向一台架设在深圳的服务器。

警方随即赶赴深圳，将服务器控制人欧阳某某等人抓获，并第一时间提取服务器数据，将服务器关闭。随着调查的深入，警方发现，全国竟有98万部手机，存在非机主本人订购额外增值业务的情况，涉案金额高达565万元。

非法植入增值服务，被篡改的老人机流入市场

不法分子远程控制老人机扣费，是如何实现的？常州市金坛区人民检察院员额检察官刘思亲介绍，犯罪嫌疑人欧阳某某在网上购买了一款手机增值服务代码，只要将这套代码植入功能机中，再通过服务器远程发出指令，就可以偷偷扣取用户话费。

犯罪分子可以通过代码指令远程控制载有恶意扣费代码的老人机

欧阳某某口中的功能机，正是主要面向老年人群体的“老人机”。这种手机屏幕大、字体大，操作简单，但由于没有便捷的二维码扫码支付功能，只能通过短信订购扣话费的方式进行支付。这也正是犯罪分子盯上老人机的原因所在。

2019年10月，欧阳某某结识了某科技公司专门从事手机主板开发的负责人熊某。于是，他利用这一机会，通过熊某将增值服务代码写入老人机的主板中。这些被篡改的老人机最终流入市场，成为欧阳某某等人非法获利的工具。

常州市金坛区人民法院员额法官顾三味介绍，2020年间，被告人欧阳某某为扣取功能机机主的话费，将写有恶意扣费功能的代码提供给熊某，由熊某将该恶意代码写入功能机主板并交给生产厂商，使得大量带有恶意扣费程序的功能手机流入市场。

涉案老人机

尝到甜头的欧阳某某并不满足，在2021年8月又找到旧友毛某。毛某是一家经营手机增值服务代理及手机软件、游戏小程序开发的网络公司负责人，手中掌握着丰富的代理商资源。

刘思亲介绍，毛某负责联系代理商并向欧阳某某提供服务短信等关键参数，欧阳某某利用这些参数，通过服务器后台向老人机发出指令，暗中扣取话费。

2023年2月9日，欧阳某某、熊某等人因涉嫌非法控制计算机信息系统罪被常州市公安局金坛分局刑事拘留。经法院审理，最终，犯罪嫌疑人欧阳某某等人以盗窃罪被分别判处有期徒刑5年8个月到12年不等，并处罚金5万元30万元不等。被告人不服提出上诉。近日，常州市中级人民法院裁定驳回上诉，维持原判。

聊什么就推什么，App“偷听”真的存在吗？

此前，#为什么App总是知道你想买啥# #手机真的会偷听吗# #手机是否会偷偷地监听#等话题在网络上讨论热度超千万。这表明，尽管目前个人信息保护领域的法律法规不断完善，对App的监管力度持续收紧，但仍有不少网友对于自己的个人信息可能被泄露而感到担心。

图源：网络

那么，App“偷听”是否真的存在？聊什么就推什么究竟是为什么？近日，在由南开大学法学院主办，中国企业报·中企财经研究院协办的全国政务新媒体法律及新闻素养高级研修班上，在探讨网络和数据安全法治化以及数字时代个人信息保护等问题时，业界专家对备受网友关注的上述问题再次用现场实验给出了科学解释。

App有可能“偷听”吗

据央视新闻此前报道，中国电子技术标准化研究院网安中心测评实验室副主任何延哲表示，偷拍偷录虽然在技术上可以实现，但是成本高、效率低，存在高昂的法律风险，且通过实验检测并未发现哪款App存在真正意义上的将语音信息上传之后的偷听行为。

在本次研修班上，何延哲进一步对App监听的可能性进行了实验测试。

何延哲介绍，一旦手机被“偷听”，手机耗能会异常增加，出现掉电过快、发热发烫、CPU和内存占用高等现象。通常情况下，如果手机处于“偷听”状态下，其耗电速度会比正常情况快27%左右。

如果App进行“偷听”，超过1分钟会被操作系统切断，难以维持长期偷听状态。

多款App同时“偷听”也是无法实现，因为麦克风权限只能被当前位于前台或最后使用的App占用，而且同样受到1分钟内会被操作系统切断的限制。

何延哲告诉记者，根据实验结果可以判断，App几乎不存在偷听的可能性。

大数据与人工智能专家刘鹏也表示，App偷听可能性几乎不存在。从商业收益和成本角度来看，监听成本和收益不成正比。以智能语音行业某头部公司的语音转写成本为例，市场售价10元/万秒，服务成本2元/万秒。假设App每天有效偷听1小时，偷听成本0.72元/人日，日活一亿的App每日成本 0.72亿，一年成本为263亿，而如果按照每天偷听24小时来算，年成本更是高达6307亿元。如此高昂的监听成本，就决定了现实中难以有哪种商业变现模式能以“偷听”方式产生收益。

“聊什么就推什么”究竟是为什么？

然而，为什么手机用户会感觉被App“过度了解”“偷听监听”？何延哲分析，所谓“偷听”可能是用户对个性化推荐的误解。App根据获取到的信息，对用户平时使用习惯进行分析，形成用户画像，并据此进行内容和广告的个性化推荐。“画像越多维，广告投放越精准，转化率越高，App就会实现盈利。而无数次的推送中，总有几次押准的，当人们注意到某些‘巧合’时，可能会不自觉地将其归因于被‘偷听’。”

刘鹏表示，“实时竞价”作为目前互联网广告普遍使用的流量交易方式之一，广告平台会主动向各类客户（如电商平台）发起询问，实时了解他们是否对该广告位感兴趣。以用户在微博、小红书等平台上接收到的电商广告推送为例，这并非代表着电商平台与这些社交平台之间存在数据交换。实际上，这只是广告平台将众多广告曝光机会同时发给需求方，各方通过实时竞价的方式达成交易并实施推送。

值得一提的是，已有法院判决显示，广告个性化推荐结果并不意味着App实施监听。2021年12月，某短视频博主散布“VX被监听，1分钟教你关闭”等未经核实的内容，被北京互联网法院判定侵犯原告名誉权。法院认为，个性化广告已经成为了互联网广告的一种比较常见的模式，发生广告个性化推荐结果并不意味着App实施了监听。平台是根据用户的浏览偏好、使用记录等进行收集和标记，形成用户画像，并据此进行广告投放。

如何确保用户数据安全感？

尽管被“偷听”可能源于误解或心理作用，但用户对于数据安全的担忧却真实存在，国家和监管部门对于网络时代的信息保护和数据安全也极为关注。

经梳理，《互联网信息服务算法推荐管理规定》《互联网信息服务深度合成管理规定》《生成式人工智能服务管理暂行办法》等有关规定均涉及算法的详细治理规则。例如《互联网信息服务算法推荐管理规定》明确要求，算法推荐服务提供者应当以显著方式告知用户其提供算法推荐服务的情况。

图源：《互联网信息服务算法推荐管理规定》

同时，在《中华人民共和国数据安全法》《中华人民共和国网络安全法》以及《中华人民共和国个人信息保护法》中，都对数据安全的保障做了相关规定。其中，在《中华人民共和国个人信息保护法》中明确提到，个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取相应的加密、去标识化等安全技术措施。

图源：《中华人民共和国个人信息保护法》

另外，今年11月24日，中央网络安全和信息化委员会办公室秘书局等四部门联合发布关于开展“清朗·网络平台算法典型问题治理”专项行动的通知，开展对信息茧房、热搜榜单、新就业形态劳动者权益、大数据“杀熟”等六个方面的算法治理。通知要求，构建“信息茧房”防范机制，提升推送内容多样性丰富性。严禁推送高度同质化内容诱导用户沉迷。不得强制要求用户选择兴趣标签，不得将违法和不良信息记入用户标签并据以推送信息，不得超范围收集用户个人信息用于内容推送。规范设置“不感兴趣”等负反馈功能。

有专家分析指出，专项行动开展落实，将进一步维护用户合法权益，提升用户体验和满意度；促进网络空间的健康、有序发展；推动技术创新与监管并重，确保算法技术的健康发展。