獨家：馬化騰迴應微信“偷窺”相冊

出品 | CSDN（ID：CSDNnews）

針對早前微信被爆在後臺反覆讀取用戶相冊的事件，1 月 5 日，馬化騰獨家迴應：“應該是 21 年 10 月的事了，圖片緩存加速造成的誤會，後面應該用 iOS 新的解決卡頓的 API 解決了。”並特別表示，“可以幫忙闢謠”。

2021 年 10 月 8 日，數碼博主、軟件開發工程師 @Hackl0us 發表微博稱包括微信等在內的多款國民級 App 在後臺反覆讀取用戶相冊。當時，iOS 15 上新隱私特性「記錄 App 活動」，Hackl0us 的朋友將其開啓，而後對所有 App 的隱私讀取行爲進行了 7 天的監控，並使用 App Privacy Insights 對記錄進行讀取。由此發現，微信在用戶未主動激活 App 的情況下，在後臺數次讀取用戶相冊，每次讀取時間長達 40 秒 至 1 分鐘不等。

圖源：https://weibo.com/2480678791/KBLLsdRNW

自此，一石激起千層浪，直接衝上了微博熱搜。隨後，微信官方團隊迴應稱，當用戶授權微信可以讀取“系統相冊權限”的前提後，爲便於用戶在微信聊天中按“+”時可以快速發圖，微信使用了該系統能力，使用戶發送圖片體驗更快速流暢。微信指出，上述行爲均僅在手機本地完成，最新版本中其將取消對該系統能力的使用，優化快速發圖功能。

微信面世至今，已走過了十餘年的時光，據騰訊發佈的 2023 年第三季度財報顯示，微信及 WeChat 合併月活賬戶數已高達 13.36 億，穩坐“國民第一社交 App”的寶座。

一旦有隱私安全問題，其影響範圍之廣，不言而喻。

彼時，在經過微信官方迴應之後，此事即告一段落，但這一疑問並沒有得到徹底的消除，CSDN 在就此事件諮詢安全專家時，其表示，微信的這一事件，“根本的原因是因爲在功能設計層面，微信在當時應該是在安全上沒有做到充分設計。在正常的軟件工程流程裡，功能設計時就應該引入相關安全設計，除了解決軟件本身的安全缺陷問題和攻擊面暴露情況之外，還應該在隱私權限這一部分去做設計，最起碼要遵循權限最小化和非必要不採集的原則，規避觸犯隱私保護法等相關的法律法規的情況。當然，國內隱私保護這一部分立法相對較晚，再加上互聯網的軟件開發流程也存在諸多不完善的情況，後期通過完善流程和在設計階段引入隱私保護等安全設計，可以從根本上解決問題。”

對於馬化騰的迴應，安全專家表示，“在沒有證據出現之前，應該選擇相信騰訊，作爲一個上市公司，應該沒人願意拿企業信譽去賭這種事兒。”

如今在最新版本的 iOS 系統之下，筆者打開隱私報告進行測試，監測到微信會在用戶明確操作的前提下，對位置和相冊進行訪問，安全專家表示，今天隱私保護相較過去更爲完善，操作系統也爲用戶提供了更多的手段來保護用戶的隱私數據，當用戶覺得有問題時，可以拒絕或關閉相關權限。