支付寶用戶隱私爭議問題大揭秘：到底要不要穿褲子？

Apple Pay刷屏之后，一輪對支付寶安卓版漏洞的討伐也開始了。微博和Twitter上都出現了“支付寶涉嫌收集用戶隱私”的消息，作者是Typcn，據知乎上資料稱其曾因為12306泄密事件在CCTV出現。

質疑者聲明如下：

以上圖片相信大部分非技術的同學看不懂，素以我招人來翻譯一下：在安卓系統中，支付寶調用了拍照和錄音的權限，并且在后臺運行。并且有建立一個隱蔽的文件夾，每隔幾秒鐘就會偷偷調用用戶的攝像頭以及錄音，形成圖片、語音資料并且悄悄上傳。

這個結果引起很多用戶的恐慌，聲稱要卸載支付寶，甚至開始討論到底在用支付寶的時候要不要穿褲子？會不會在自己完全不知道的情況下，自己的照片、聲音都被錄音上傳到支付寶的服務器？這樣的話，還有沒有隱私可言？

支付寶答復如下。

大意是，支付寶確實需要拍照權限和語音權限，前者在掃描二維碼的時候需要，后者在聊天的時候需要。而且支付寶確實需要在后臺運行，因為需要位置即時通訊。這點跟微信的運作原理是一樣的。

當然，Typcn不會那么輕易放過支付寶。他回復：

到底誰說的有理呢？我咨詢過3位來自不同且與支付寶無利益關聯的技術童鞋，其中一個來自支付寶競品公司，另外結合山寨發布會討論的信息，基本厘清了這個邏輯，現在分享如下。

1、在本次交鋒中，質疑者利用了公眾對數據隱私問題的恐慌，成功用大家都不太看得懂的技術解讀，使很多人對支付寶的信任產生動搖。而其中關于支付寶隨時拍照上傳的做法更讓很多人不寒而栗，由此引發用支付寶要不要穿褲子的解讀。客觀上為Apple Pay背書。

2、問題在于，Typcn提供的資料證明，支付寶后臺運行，調用拍照和錄音權限，都可以得到完全合理的解釋。在最關鍵的，支付寶有沒有經常拍照并且上傳，這個問題上，只是提出了一個假設，但并沒有拿出實際的證據。

其推論的原理類似于，有一個人很有錢，并且在下午瀏覽的草榴，雖然沒有證據，但他晚上就是去找小姐了。如果這個人沒有找小姐，那么你得找出自己沒有找的證據。

3、有人提到，支付寶為何不公布自己的數據包？如果支付寶公布每天到底從安卓手機中收到哪些信息，就可以自證清白了。但是，這種方法也說不通，首先，數據包本身就不應該被公開，涉及公司機密。另外，就算公開一個數據包，可能又該面臨數據真假的質疑。

本輪質疑提到的一個點就是，支付寶歷史上的某一個版本會導致出現莫名拍照聲音，那就是支付寶偷偷拍照的證據。但是我問了周圍安卓用戶，都沒有聽到過。而且質疑者也提到，支付寶完全可以修改其在云計算上信息，對外發布一個完全清白的證據，意思就是，支付寶無法自證清白。

相當于，那個看草榴的人是個技術專家，就算他提供小區的攝像頭證據自己沒找小姐，也可能是他黑了系統之后自己篡改的。

所以結論是，支付寶無法在技術上自證清白。那么只能從動機上來說，支付寶有沒有動機來偷偷拍照上傳？

4、結論是真的沒有。大部分人的手機長期在口袋里，5秒一張照片大部分都是黑乎乎的口袋吧。支付寶后來采集這些大量的，需要占用很大的內存，但無法從中挖掘價值的照片數據，完全是沒有必要的。

5、結論是，在本輪交鋒中，質疑者沒證據證明支付寶作惡，支付寶也沒能力自證清白來洗刷自己。因此引發的其他支付產品是否更安全以及要不要穿褲子這些可以告一個段落了。

6、另外，阿里競品的技術同學對此表示，這次爭議是在煽動無知群眾，冤枉好人。但是大部分看到隱私覺得不安的同學并不一定愿意看并能看懂辟謠文章。這個只能祝支付寶躺槍安好了。

文末彩蛋，阿里巴巴的安全專家坐不住了，提出要用10萬元現金挑戰質疑者。鏈接如下：

http://zhuanlan.zhihu.com/justnow/20595834?from=timeline&isappinstalled=0

感謝虎嗅蔡老師提醒，這個帖子本身并未就挑戰規矩做詳細的說明，所以攻城獅同學在挑戰之前一定要請作者再次劃個道道出來，說的清清楚楚到底要如何才算過關。

全世界人民都知道阿里巴巴的老員工身價豐厚，如果他輸了，相信不會賴賬的。嗯，恭喜發財。

聲明，我的研究和結論都僅僅局限于本次事件的分析，相信這種PK還會持續出現，期待下一輪。