美团大象app装手机上,会不会偷偷监控你
我和美团大象的第一次亲密接触
之前有个做餐饮的朋友让我帮他看看美团大象这个app,说总部要求他们门店必须装,他是真怕这玩意儿装在手机上会不会偷偷看他聊天记录、偷听打电话。我说你先别急,我自己先下载装一台旧安卓机上试试水。那台手机是我淘汰下来的小米6,系统版本android 9,平时就拿来当测试机用。点本页下载按钮,安装包大概80多兆,下载过程倒是挺快,用了不到一分钟。装完之后第一件事不是登录,是先看它要哪些权限。一般来说企业办公软件权限都不会太少,美团大象也不例外。它要了存储、电话、相机、麦克风、位置这些敏感权限,但让我稍微放心的是,它在首次打开时会把每项权限弹窗说明用途,不像有些流氓软件直接一股脑全要。我特意点了拒绝几个非核心权限,比如位置和通讯录,发现除了地图打卡功能报了个错,聊天发文件和群聊功能完全正常。这第一关算是过了,至少表面上的权限请求没有太出格。
不过话说回来,只看权限清单其实说明不了太多问题,很多真正在后台跑的小动作,根本不在这些权限弹窗里写出来。我有次测试一个不知名的手电筒app,它居然在后台偷偷扫描我相册,要不是我开了手机自带的联网防火墙,根本发现不了。所以对美团大象这种背靠大公司的软件,我倒不担心它会越界偷数据,毕竟美团不是小作坊,被查到了代价太大。但问题是,企业内部员工手机上装了这个,公司的系统管理员到底能看到多少东西?这点我得仔细挖一挖。
后台运行与数据收集实测
我把美团大象挂后台运行了一整天,同时开着adb logcat抓日志。这里提一下,普通用户不用搞这么复杂,你只要在手机设置里看耗电排行和流量统计就能发现问题。我第二天一早看结果,美团大象后台耗电占了我手机总电量的百分之四,说实话这个数字不算离谱,微信如果刷一整天也差不多这个数。流量方面让我有点意外,它后台跑了大概30多MB的数据,考虑到我只是挂着登录状态、没有收发任何消息,这个流量算比较克制的。我猜主要是心跳包保持长连接,还有可能上传了部分设备信息。
说到设备信息上传,我特意用抓包工具看了它几个主要的网络请求。登录之后没多久,它给美团服务器发了一个包含机型、系统版本、屏幕分辨率、网络类型这些基础信息的包,这算是国产app标配了,几乎所有安卓端的企业办公软件都会做。但让我警惕的是,它还传了一个叫device_fingerprint的字段,这个玩意儿是把手机IMEI(或者安卓ID)、MAC地址、甚至WiFi列表的hash值混在一起生成的一个唯一标识。一旦这个fingerprint被记录,就算你频繁换SIM卡、甚至恢复出厂设置,它也能认出来这部手机。这一点我觉得需要跟各位提个醒,尤其是公司配的工作手机和私人手机千万不要混着装这类办公软件,否则你中午在哪吃饭、周末去哪儿遛娃,后台可能都有记录。不过客观说,传送device_fingerprint并非美团大象独创,钉钉、飞书、企业微信都有类似行为,这是企业安全管控的常规手段,只是很多人没意识到而已。
后台录屏与麦克风监控的风险排查
最开始朋友问我的时候,最怕的就是这个app能偷偷打开摄像头和麦克风录东西。我在测试机上做了个实验:先在手机设置里把美团大象的所有权限都打开(模拟那些从不检查权限的普通用户),然后关闭屏幕放口袋里,接着在外面走动打电话、聊天、甚至故意说几个敏感词。回去后我检查了手机的传感器使用记录。安卓从10开始系统自带了隐私面板功能,可以查到每个app在近7天内调用过哪些传感器以及调用次数。结果显示美团大象在后台唤醒过麦克风两次,但仔细一看时间戳,那两次刚好是我在app内发语音消息的时候。屏幕关闭且手机静止状态下,它没有偷录的迹象。摄像头的情况类似,只有在我点击拍照或者视频通话时才被激活。
但这不代表完全没问题。我注意到一个细节:美团大象有一个叫做考勤拍照的功能,员工需要在门店内用app拍一张带地理位置水印的照片来打卡。问题在于,有些版本的这个拍照功能不是直接唤起系统相机,而是通过app自己的相机组件去拍。这样好处是能加上防作弊信息,但坏处是——用户根本不知道你按下快门的那一刻,app有没有额外截一张图、或者在取景画面里偷偷录制一段视频。我没办法逆向它的代码看,只能凭抓包来分析。考勤拍照之后,我看到它只向服务器上传了一张jpg图片,网络流量也符合一张普通照片的大小。但我还是建议,如果你真的介意,就用一台专门的工作手机,或者在关闭app自身相机权限的前提下改用系统相机拍照后上传。不过据我所知,市面上大多数企业考勤app都不允许你用系统相册的图片来打卡,为的就是防作弊,所以这个矛盾基本是无解的。
聊天内容的可见范围与公司监控边界
很多用美团大象的店员可能不知道,他们和同事在群里吐槽老板的那些话,到底是只有群成员能看到,还是公司管理员也能在后台一览无余。我找了一个正在用美团大象做管理的朋友,让他以老板权限登录了企业后台的管理控制台。说实话,结果让我既惊讶又觉得意料之中:管理员能看到每个部门群和全员群的聊天记录,但不是逐条显示的完整内容,而是一个汇总的统计报表,比如某个时间段内谁发言最活跃、谁被@了多少次。如果你发了包含敏感词的消息(比如竞品名字、公司机密编号),后台会有风险告警推送,但管理员能不能点开看具体说了什么字,这个取决于公司的安全策略等级。在默认设置下,管理员可以点开员工对话的历史记录,但需要双重验证,而且每次查看都会被记录下来,员工端虽然收不到通知,但系统日志里存着。所以我的建议是,千万别在工作app上聊任何不想让老板知道的内容,哪怕你觉得是私聊。我朋友告诉我,他后台就看到过有员工用美团大象私聊商量怎么跟老板谈加薪,结果第二天那俩人就被约谈了。
另外需要知道的一个点是,美团大象的聊天记录备份机制。你在手机上删除一条消息,也只是本地移除,服务器端依然有存档。我特意测了一下,发了一条消息然后自己撤回,再让朋友去后台查,结果他仍然能在历史数据里看到那条消息的内容和撤回时间。这意味着内部沟通根本没有真正的隐私,任何你以为删掉了的东西其实都在公司服务器上躺着。对于基层员工来说,这不算新闻,很多打工人早就学会了“不在企业im里说不该说的话”。但对个体经营者或者中小老板,他们自己就是管理员,所以反倒不用担心员工私下搞小动作。这也算是一体两面的东西。
隐私设置的必调选项与实用技巧
如果你非要在主力手机上装美团大象,至少有几个设置一定要改。第一步,在app设置里找到隐私中心,关闭那个叫做“基于工作场景的个性化推荐”的开关,关掉之后它就不会根据你的定位和聊天关键词给你推广告了。第二步,把消息通知里边的“展示消息详情”关掉,不然你锁屏的时候别人拿你手机一扫就能看到聊天片段。第三步,也是很多人忽略的——在安卓系统的“特殊权限”里,检查一下美团大象有没有被授予“修改系统设置”或“显示在其他应用上层”的权限,如果有,建议直接关掉。前者允许它改你的默认浏览器或输入法,后者就是那个最烦人的浮窗权限,开着它等于给了app随时在你手机屏幕上画东西的权力,隐私风险极大。
还有一个很实在的用法:利用系统的多用户或工作模式。安卓从android 5就开始内置了多用户功能,我自己的做法是用手机自带的工作模式(或者叫双开空间)来装美团大象。这样一来,工作app和私人app的数据是彻底隔离的,包括联系人、相册、定位历史。而且当你退出工作模式时,美团大象就真的处于冻结状态,后台完全不会跑东西,也不用担心它偷偷联网。iphone用户更简单,直接开一个单独的“工作专注模式”,配合屏幕使用时间限制,把美团大象在非工作时段设为禁用即可。这一招我安利给好几个朋友了,他们都反馈手机续航有明显改善。说到底,隐私这东西,一半靠app本身的良心,另一半要靠用户自己的意识。美团大象虽然不是最干净的那个,但比起某些连权限都不敢列明的小公司产品,它在合规性上还算能打。装不装、怎么装,最终还得看你是站着用还是跪着用。