原文標題: Xiaohongshu: Little Red Book reads you(小紅書:正在閱讀你的小紅書) 核心結論: 你以為你只是在看小紅書,其實小紅書也在看你——甚至看得很深。
1. 報告重點懶人包(SRLabs 發現了什麼?)
這份報告指出了幾個讓資安專家感到不安的技術行為,各位群友在使用時要特別注意:
- 「預先上傳」的鬼故事: 這是最驚人的一點。當你準備發筆記,點開相簿選了一張照片,即使你還沒按下「發布」,甚至最後反悔按了取消,小紅書的程式可能已經在後台把這張照片傳送到他們的伺服器(ros-upload-ali.xiaohongshu.com)了。
- 意思就是:你「選過」但「沒發」的照片,可能已經在他們家雲端了。
- 資料傳輸未加密(裸奔): 報告發現小紅書在傳輸某些數據時,使用的是 HTTP 而非加密的 HTTPS。
- 風險: 如果你在公共 Wi-Fi(如咖啡廳、機場)滑小紅書,有心人士或駭客可以攔截你的流量,看到你在看什麼,甚至竊取你的 cookies。
- 過度的權限索取: 它會索取與功能無關的權限,例如讀取你手機裡「安裝了哪些其他 App」。
- 目的: 分析你的數位生活樣貌(例如:你有裝淘寶,代表你有跨境購物習慣;你有裝專業修圖軟體,代表你是潛在創作者)。
- 偷看照片的 EXIF 資訊: 即使你不發文,App 也會嘗試讀取你相簿照片的隱藏資訊(EXIF),這包含了拍照時間、精確的 GPS 地點、手機型號。
2. 深度探討:為何小紅書「需要」偷這些資料?
很多群友可能會問:「我只是一個看美妝/旅遊的小透明,它拿我資料要幹嘛?」 其實,這背後有三個層次的商業與技術邏輯:
A. 為了餵養「神級」的推薦算法 (The Feed) 小紅書最可怕(也最好用)的地方在於它的演算法。它需要海量的數據來訓練 AI,讓「發現頁」比你自己更懂你。
- 為何偷看未發布的照片? 它可以分析你「想發但沒發」的內容,判斷你的猶豫點,或分析你相簿的整體風格,來決定要推給你什麼廣告。
- 為何看 EXIF? 知道你週末去了哪裡(即使你沒打卡),它就能推播附近的探店內容給你,增加你的黏著度。
B. 建立精準的「用戶畫像」與廣告變現 免費的 App,用戶就是商品。
- 如果它知道你裝了某個高階修圖軟體,它會把你標記為「高價值創作者」,推播更貴的攝影器材廣告給你。
- 如果它知道你常去醫美診所(透過照片地點),醫美廣告就會精準投放到你臉上。
- 偷這些資料是為了讓廣告主付更多錢。
C. 合規與監控(中國互聯網特性) 雖然 SRLabs 的報告主要關注商業隱私,但不可忽視的是,中國的網路安全法規要求平台具備極高的「溯源」能力。
- 收集 IMEI(手機身分證)、MAC 地址、精確定位,是為了確保每一個帳號背後都能連結到真實的物理裝置與人。這在當地是合規要求,但在國際標準下就被視為隱私侵犯。
3. 給群友的建議(如何在夾縫中求生存?)
既然大家還是要用小紅書(畢竟上面資料真的很豐富),以下是幾個自我保護的「使用姿勢」:
- 【關鍵】不要給「所有照片」權限: 在 iOS/Android 設定裡,將小紅書的照片權限改為**「僅限選取的照片」**。這樣它就無法掃描你整個相簿的 EXIF 資訊,也無法偷傳你沒選的照片。
- 避免在公共 Wi-Fi 使用: 既然報告指出它有未加密傳輸的風險,在外面連公共 Wi-Fi 時盡量別滑,或是搭配 VPN 使用以加密流量。
- 準備一支「備用機」: 如果是重度使用者或經營者,建議將小紅書安裝在完全乾淨、沒有綁定主要信用卡或個人隱私照片的備用手機上。
- 善用網頁版: 如果只是想查資料,不一定要開 App,使用網頁版瀏覽可以避免被讀取手機底層資訊(雖然體驗較差)。
小結: 小紅書是一個非常好用的工具,但我們要意識到,「免費」的代價就是我們的數據。把權限關到最小,是我們唯一能做的主動防禦。
FB搜尋:台灣小紅書使用交流群
