支付宝“隐私门”和“十万悬赏”事件的回顾

支付宝“隐私门”事件回顾

近日，曾经曝光“12306 泄密事件”的用户 typcn 在 twitter 中发文称：支付宝安卓版存在盗窃用户隐私的情况，“支付宝安卓版每隔 X 分钟 (服务器指定) 会在后台开启摄像头拍照，录音 X 秒，然后上传到服务器上，同时也会有通讯录，通话记录，附近基站和 WiFi等信息。”

typcn就发了一条Twitter说了这件事，引发热议。typcn 的说法得到了大量用户的跟进和证实。有网友提供图片，暴露了支付宝拍照的过程。当然，也有网友认为支付宝方面没有这样做的动机，拍照录音对于支付宝来说没有任何实际利益。部分网友质疑 typcn 未能拿出实质性的证据。

2月23日，支付宝方面通过官方微博发表回应称，个别社交平台的“支付宝 Android 版隐私门”话题，用语焉不详的“论证”，扣上一个“隐私门”的帽子，加上各种技术名词的包装，确实可能引发普通用户的误解和担心。支付宝只申请业务需要的权限，不会做额外的信息采集和后台操作，更不会侵犯、泄露任何用户隐私信息。

支付宝微博回应全文

正当广大网友认为此次事件就此偃旗息鼓时，2月24日，阿里巴巴资深安全专家云舒的一篇回应《别BB，放码过来拿10万现金吧》，又将此次事件引入另一个高潮。

云舒，业界知名安全专家。2005年加盟绿盟，2006年入职雅虎，2008年加入阿里巴巴集团，现任阿里巴巴资深安全专家。

在这篇回应中，我们看到了这位阿里资深安全专家的不解和愤怒，这场罗生门的背后究竟有着什么样的隐情？文章发布后，云舒本人又会得到什么样的回应？

FreeBuf第一时间联系到了云舒本人，他向我们讲述了此次事件及这篇回应的始末以及他本人的感受。以下为采访实录（F=FreeBuf，Y=云舒）：

F：事件发生后，你的第一反应是什么？

Y：第一反应是可笑且可悲。没有任何实质性的证据，他看到一点表面现象，然后用朴素的简陋的逻辑去推测，最后用吸引眼球的语言去表达。在计算机这种专业学科里面，这种东西毫无疑问是很可笑的。然而，却有大量的用户深信不疑，还有人说可能是国家让支付宝这么干的，感到深深的悲哀。

F：《别BB，放码过来拿10万现金吧》一文是在什么样的状况下写的？

Y：当时知乎已经炸了锅，不光是在讨论所谓“几分钟偷拍偷录一次”的问题，人多嘴杂，“敬业福”、“费电”、“互相启动”等事情全部夹杂在一起说。

面对众人的愤怒，我已经没法去做技术上的解释，因为大众不懂，于是我尝试使用简单的逻辑去论证。第一个是法律风险，我至今相信，世界上没有哪一家企业胆敢冒着危害国家安全冒着坐牢的风险做这种完全没有收益的事情。第二是阿里并不是没有竞争对手，360、腾讯、百度哪一家不想抓住阿里的把柄，有类似的问题他们不会去分析并提起诉讼么？但是没有起到任何效果，大家认为我没有讲技术，是在回避问题。于是我想直捣黄龙，解决问题的根源所在，让大家知道提出论点的人是不专业的，做事的态度、方式以及论点本身都是不正确的，那就是直接发起技术挑战，我愿意付出更大的代价，换取对方比较小的代价，用这种不对称的赌约来让大家明白，论点是错误的。

其实在前不久，也有人污蔑支付宝强行公开用户的购买记录，当时也是很多人跟着用脚投票，跟着起哄。后来大家明白，自己搞错了。但是没过几个月，同样的事情又来一次，同样是错误的观点，不专业的论证，愤怒而没有理智的民众。这可是号称高级精英的知乎发生的事情！于是，处于很愤怒的情况下，写下了那篇文章。我相信已经有人在分析了，我很期待专业的分析结果。  

最后，我现在很认可GCD说的，不明真相的人民群众blabla的。很多时候，人就像沙丁鱼群一样，可惜我却无能为力，改变不了什么。

F：你在回应中称计算机是一门技术学科，而在此次事件中，并没有实质性证据，但也有网友称“支付宝有 大概 1/4 的代码都是动态加载的 ，支付宝 libs 里面的 so 文件，其实根本不是动态库，就是一个一个完整的 APK ，有的 so 还是从他的服务器上远程加载的，但其实那些 so 文件，全部都是 apk ，有着完整的 apk 结构， drawable ， dex 都有，这些 apk 动态插入到主程序里面执行。 这种高动态的程序，证据抓到的可能性已经趋近于 0 了 ”，对此你怎么回应？

Y：回应很简单，还是那句话，早干啥去了？如果真的要揭露一个事情的真相，难道不是应该悄悄的保存好带数字签名的样本，做专业细致的分析，然后提出专业的分析报告么？或者说，没有技术却又想搞个大新闻，所以迫不及待乱写？其次，一个专业的安全研究人员，你跟我说动态加载的东西分析不了？当我这几年一点技术不做，连动态加载的马也没见过么？那些东西是怎么分析的？

F：网友质疑：支付宝在申明中还是回避了“启动（和定期）申请使用摄像头、录音权限”的原因，正常情况下申请权限是在用户点击、使用相关功能时App才会申请相关权限（如，点击扫码的时候才会申请使用摄像头权限），为何支付宝是在用户未操作的情况下预先申请权限？而且申请频率很高？

Y：这个也很简单，代码写得SB呗。估计是脑子秀逗了想着方便用户，先把权限都申请好，结果搞成一坨垃圾。

F：针对其他技术人员所述的内容，虽然真伪尚未验证，有没有想过为什么大家会如此相信这个没有真实确认内容，而且几乎是一边倒的？

Y：三个原因夹杂在一起。一个是支付宝乃至阿里有些事情是做得不够好，没有充分为广大用户考虑。比如说很多用户提到的互相唤醒、启动卡、生活圈之类，积累了怨气。第二个是从众，凑热闹，起起哄。第三个是有些公司的PR帮忙搞一搞。

F：无论是IT时代，还是大数据时代，又或是DT时代，用户数据安全一直是重点，那么你认为如何合理的应用用户的数据？

Y：像苹果公司那样，敢于和政府对抗。认定这么一条道理：“用户的数据存放的位置不一定在用户那里，但是所有权只是属于用户自己”。

F：就现在而言，你认为阿里对用户的产品中有什么你觉得不合规、不合理的逻辑？

Y：我自己试用过程中，无论是支付宝还是钉钉，启动都很卡。其次是有些体验不太好，比如说支付宝的付款码、收款码每次都要思索半天，别的还有诸如生活圈之类的东西。总的来说，用户体验还有很长的路要走。

F：无论目的为何，你认为此次事件的导火索是什么？

Y：导火索不知道。

F：这篇文章发布后，公司是否对你的回应表态？这篇文章对你本人又有什么样的影响？

Y：公司没有任何声音传达给我，因为这是我的个人行为。我好像登上了公司内部搜索热榜，还好这也不是第一次，我也习惯了。

为什么我经常出来搞这些事情，跟公司价值观没有关系，与我个人的价值观有关。那就是看到错误的，我就要去骂。我在微博骂过同事，也在公司内部骂过副总裁。我觉得技术人就要这样，不管对方是谁，多么位高权重，也不管公司纷争包容合作，我只管事实的真相。

说真的，如果支付宝有几分钟偷拍一次，我马上辞职，永不进阿里。如果有人说微信几分钟偷拍一次，我一样会站出来告诉他们不可能。

F：目前为止，是否已经有人向你的十万赏金发起挑战了呢？

Y：暂时还没有。但是据我所知好像有人在做分析，但是他们不是为了钱，他们很有钱。他们为的是技术本身。

F：如果让你对此事件做一个最后陈述，你会怎么总结？

Y：我在知乎经常看到很多很热的帖子，都是关于科学啊，严谨啊，尊重专业啊，国家发展的希望啊什么的。但是，很遗憾，真的很遗憾。另外，我并没有自视高人一等，但是我尊重专业，同时尽量不盲从。

大胆推测，小心求证。自勉。