新人如何入门和学习软件测试？

我们精选了一下网友答案：

···································^^····································

有热心网友对这个问题进行了回答，使用的是我在黑马论坛2018年制作的学习路线图，而且获得了730个赞，可见资料非常受欢迎。但是很多人留言，不是因为感谢，而是因为有些资料没有提取码，所以我现在来更新下。

更新环节有两个：

1、所有视频补全提取码
2、更新为2020年版本的最新视频资料

资料很长，不想学测试的朋友千万别看，哈哈

一、学习路线图（点击图片即可放大，可清晰观看）

二、软件测试视频第一阶段-前置基础知识

1、学习目标：

可掌握的核心能力：

1. 熟悉计算机相关概念；
2. 掌握基础的测试理论；
3. 熟练掌握HTML常用标签和语法规范；
4. 掌握使用CSS定义网页样式；
5. 掌握js的基本用法；

2、知识点:

1）计算机基础
计算机组成部分、操作系统分类、B/S和C/S架构、常用DOS命令、服务器域名
2）测试理论
软件测试的目的、软件测试定义、软件测试原则、产品质量模型、测试基本流程
3）HTML基础
HTML基础语法、标签属性、图片标签、超链接、锚点、表单
4）CSS基础
CSS基础语法、CSS四类选择器、常用文字属性、行高属性、边框、盒子模型、内外边距
5）JS基础
JS基础语法、JS引入方式

3、该阶段免费配套视频

1）北京校区-《2019年视频告诉你测试行业薪资/价值/职业规划》 密码：xp9k（小白入门必看视频）
2）北京校区-《5天测试班基础视频教程2020版》[3.16日更新] 密码：crm2（对应上述1-5知识点）

三、软件测试视频篇第二阶段-linux和数据库

1、学习目标：

可掌握的核心能力：
1. 掌握Linux操作系统按照和配置；
2. 熟练掌握Linux常用命令；
3. 掌握数据库增删改查操作；
4. 熟悉数据库索引、视图、事务、常见函数等高级功能；
5. 掌握Redis的string类型、hash类型、set类型、list类型等基本类型和操作；

2、知识点:

1）LINUX（熟悉）
操作系统介绍、操作系统发展历史、CentOS图形界面、文件和目录、常用LINUX命令使用、vim文本编辑器的使用
2）数据库介绍（熟悉）
数据库基本概念、关系型数据库介绍、MySQL安装与使用、Navicat使用
3）SQL语言（重点）
数据表操作、数据操作-增删改查、条件查询、排序、聚合函数、分组、分页、连接查询、自关联、子查询、子查询演练
4）数据库高级功能（了解）
数据库设计、命令行操作数据库、函数、存储过程、视图、事务、索引、外键、用户密码
5）redis数据库功能（掌握）
掌握Redis的string类型、hash类型、set类型、list类型等基本类型和操作；

3、该阶段免费配套视频

1）北京校区-《2天linux视频2020完整版》 密码：5drs（对应上述1知识点）
2）北京校区- 《4天mysql视频教完整版分享2020版》 密码：s6p6（对应上述2-4知识点）
3）实战视频-《1天redis实战视频教程2020版》 密码：o0wv （对应上述 5 知识点）
4）实战视频-《Linux命令实战之Lnmp搭建禅道测试环境》 密码：wynj （2018年课堂版本）
5) 简历项目-《如何在linux环境中使用Lnmp部署测试项目》 密码：b9k6 （20年10.17日更新）

四、软件测试视频篇第三阶段-测试基础

1、学习目标：

可掌握的核心能力：

1. 掌握测试的基本概念和测试常见分类；
2. 熟练掌握黑盒测试用例设计方法，进行功能测试用例设计；
3. 熟练掌握缺陷报告的编写；
4. 熟悉测试管理工具禅道和JIRA的使用
5. 掌握项目测试流程；
6. 掌握Web项目功能测试分析和用例编写；
7. 熟悉测试计划，测试方案，测试报告的核心内容
8. 掌握功能测试与数据库的关系
9. 掌握Fiddler工具的使用

2、知识点：

1）软件测试理论
软件测试的分类，软件开发模型和测试模型，软件的质量模型，测试用例的定义和要素
2）测试用例设计
等价类方法、边界值方法、因果图、判定表、状态迁移法、正交、场景
3)缺陷管理
缺陷定义、缺陷的判定标准、缺陷报告、缺陷跟踪流程
4)Web项目实战
搭建项目的测试环境，如何快速熟悉项目，项目的测试流程，测试计划和方案，功能测试分析，状态迁移法的使用，流程测试分析，非功能测试分析，测试报告编写，Fiddler抓包
5)App项目实战
6)测试管理工具
禅道的使用，JIRA的使用

3、该阶段免费配套视频

1）北京校区-《深入了解软件测试4天视频》 密码：hyv9（此免费视频对应上述1,2,3知识点）
2）北京校区-《4天学web手工项目测试》 密码：vhh9（此免费视频对应上述4知识点）
3）北京校区-《2天学APP手工项目测试》 密码：i6ym（此免费视频对应上述5知识点）
4 ) 北京校区-《1天禅道工具使用》 密码：u9vj （此免费视频对应上述6知识点）
5 ) 北京校区-《1天软件缺陷与JIRA》密码：3za0（此免费视频对应上述6知识点）
6) 实战视频-《两小时快速入门黑马头条APP功能测试实战》 密码：9ziq

五、软件测试视频篇第四阶段-编程+数据结构

1、学习目标：

可掌握的核心能力：
1. 掌握Python基础语法, 具备基础的编程能力；
2. 建立编程思维以及面向对象程序设计思想。

2、知识点：

1）Python开发环境
Python开发环境的搭建、Pycharm使用
2）Python基础
变量以及变量的类型、标识符和关键字、变量名命名方式、算数运算符、变量数据类型转换、输入和输出、注释、if语句基本格式、if…else…语句、if…elif..else语句、逻辑运算符、比较关系运算符、运算符优先级、while循环语法格式、while嵌套应用、break的用法、continue的用法、列表概念及操作、元组概念及操作、字典概念及操作、字符串概念及操作、集合概念及操作、for循环及for…else用法、函数的基本语法、函数执行流程、文档注释、带参数的函数、带返回值的函数、函数的嵌套调用、匿名函数、递归函数、局部变量和全局变量、引用、文件的概念、文件的打开与关闭、文件读写, 以及文件定位读写、文件、目录相关操作
3）面向对象
面向对象介绍、类和对象的概念、魔术方法的意义及作用、对象成员的访问控制权限、继承的概念及意义、继承、多层继承和多继承、多态的概念以及应用、类属性和实例属性、实例方法、类方法、静态方法、设计模式: 单例模式
4）异常处理
理解异常的作用、捕获异常、异常的传递规则、自定义异常
5）模块和包
模块和包的概念、__all__的用法、import语句用法、from...import...用法、from...import * 用法

3、该阶段免费配套视频

1）北京校区-《10天带你玩转python2020版》 4.20日更新 密码：daxr（此免费视频对应上述1 - 5知识点）
备注：python视频非常重要，是做市场最抢手的自动化测试必学视频，目前黑马已公开。

六、软件测试视频篇第五阶段——WEB自动化

1、学习目标：

可掌握的核心能力:
1.能够熟练搭建Web自动化测试环境；
2.熟练掌握元素的定位方法和元素操作；
3.掌握鼠标键盘操作及HTML特殊元素的处理；
4.掌握使用UnitTest管理自动化测试的脚本；
5.熟练掌握PO模式的设计思想，并能够对页面进行封装；
6.掌握数据驱动的实现方式；
7.掌握日志的相关概念，以及日志的收集处理；
8.掌握在实际的项目中如何灵活运用自动化的相关技术。

2、知识点：

1）WEB自动化入门
自动化测试的理论知识、主流的Web自动化测试框架介绍、Selenium的发展历史及工作原理、元素查看工具使用、环境搭建
2）WEB自动化基础
元素基础定位方法、Xpath和CSS元素定位方法、元素常见操作、浏览器操作方法、鼠标键盘操作、显示等待和隐式等待、HTML特殊元素处理、窗口截图、验证码处理
3）WEB自动化中级
UnitTest框架、Fixture、UnitTest断言、参数化、测试报告
4）WEB自动化高级
PO模式、数据驱动、日志处理
5）项目实战
自动化测试流程、项目自动化框架设计、自动化代码实现

3、免费视频资源配套：

1）北京校区-《8天web自动化入门教程》 密码：xest（此免费视频对应上述1-5知识点）

七、软件测试视频篇第六阶段——移动自动化

1、学习目标：

可掌握的核心能力:
1.掌握移动端APP测试特性；
2.能够熟练搭建移动自动化测试环境；
3.熟悉appium的工作原理；
4.熟练掌握ADB工具的使用；
5.熟练掌握元素的定位方法、元素操作和手势操作；
6.掌握单元测试框架pytest的使用；
7.掌握YAML数据读写；
8.掌握使用allure生成测试报告；
9.熟练掌握PO模式的设计思想；
10.掌握数据驱动的实现方式；
11.掌握Git的使用方式；
12.掌握Jenkins持续集成的环境配置；
13.掌握在实际的项目中如何灵活运用移动自动化的相关技术。

2、知识点：

1）移动自动化特性
APP应用系统架构、测试环境及发布平台、APP敏捷开发模式、APP应用测试要点、业务功能测试、兼容性测试、安装卸载升级测试、交叉事件测试、Push消息测试、性能测试、用户体验测试、稳定性测试
2）移动自动化基础
移动端测试分类及特点、ADB命令及Monkey使用、appium环境搭建、appium工作原理
3）移动自动化中级
APP和手机系统操作、元素定位、元素操作、高级手势操作、混合APP测试、PyTest测试框架、定制测试报告、YAML数据读写
4）移动自动化高级
PO模式、数据驱动、Git、Jenkins持续集成
5）项目实战
APP项目实战

3、免费视频资源配套：

1）北京校区-《移动端测试基础知识视频》 密码：3gyl（此免费视频对应上述1,2知识点）
2）北京校区-《移动自动化测试基础入门视频》 密码：am3h（此免费视频对应上述2-4知识点）
3）实战视频-《Appium进行IOS真机自动化测试》 密码：dolc（此免费视频对应上述5知识点）
4） 相关视频，正在紧张打滚更新中

八、软件测试视频篇第七阶段——接口测试

1、学习目标：

可掌握的核心能力:
1.掌握接口及接口测试相关概念；
2.掌握使用Postman进行接口测试；
3.熟练掌握数据库的基本操作和事务操作；
4.掌握requests库使用及脚本封装；
5.掌握接口测试框架的设计和封装；
6.掌握使用持续集成工具管理接口测试脚本；
7.掌握在实际的项目中如何灵活运用接口测试的相关技术。

2、知识点：

1）接口测试基础
接口及接口测试概念、HTTP协议、接口规范、项目环境说明、接口测试流程
2）Postman实现接口测试
Postman介绍和安装、Postman基本用法、Postman高级用法、Postman测试报告、项目实战
3）数据库操作
数据库介绍、数据库基本操作、数据库事务操作
4）代码实现接口测试
Requests库、集成UnitTest、接口测试框架开发、项目实战
5）持续集成
持续集成介绍、Git、Jenkins、持续集成之Postman、持续集成之代码
6）接口测试扩展
Mock测试、接口测试总结

3、免费视频资源配套：

1）北京校区-《2天带你掌握接口基础》 密码：v5bq（此免费视频对应上述1知识点）
2）北京校区-《接口测试入门篇》 密码:k8rc（此免费视频对应上述2知识点）
3）巩固视频-《Python实现接口自动化测试视频》 密码:edkd
4）实战视频-《python实现头条项目接口自动化测试实战》密码:c7oz （与知识点5-7相关视频）

九、软件测试视频篇第八阶段——性能测试

1、学习目标：

可掌握的核心能力:
1.能够熟练搭建性能测试环境；
2.掌握性能测试基础理论；
3.掌握Jmeter常用组件使用；
4.掌握Jmeter编写和录制性能测试脚本；
5.掌握基于jmeter实现单一和混合场景搭建；
6.掌握思考时间、事务、逻辑控制器在性能测试场景的应用；
7.掌握Jmeter常用性能插件进行图表分析；
8.掌握Linux服务型性能监控方法和指标；
9.掌握数据库监控和调优的常见方法。

2、知识点：

1）性能测试基础
性能测试理论、性能测试分类、性能测试常用指标、性能测试流程
2）性能测试工具
常用性能测试工具、Jmeter环境搭建、Jmeter功能概要、元件作用及执行顺序、线程组、参数化、断言、关联、连接数据库、逻辑控制器、定时器、分布式、测试报告
3）项目-接口性能测试
项目API文档分析、接口清单梳理、接口脚本设计、并发数据计算、逻辑控制器项目应用、单一场景搭建、常用响应图表插件及应用
4）项目-web性能测试
脚本录制、正则过滤、cookie管理器、事务控制器、思考时间、混合场景搭建、web性能脚本执行与分析
5）性能测试调优
windows服务器性能监控、linux服务器性能监控、性能测试报告

3、免费视频资源配套：

1）北京校区-《3天带你入门性能测试2020版》 密码：g0nk（此免费视频对应上述1-3知识点）2）北京校区-《2天带你入门性能测试》 密码：44t2（此免费视频对应上述1知识点）
3）北京校区-《性能测试工具LoadRunner入门》 密码：hvc9（此免费视频对应上述2知识点）
4） 与知识点4、5相关视频，正在紧张打滚更新中

十、软件测试视频篇第九阶段——综合项目实战

1、学习目标：

可掌握的核心能力:
1.掌握功能测试在真实的项目中如何实施；
2.掌握基于Selenium的Web自动化测试框架搭建和使用；
3.掌握基于Appium的APP自动化测试框架搭建和使用；
4.掌握使用工具实现接口测试；
5.掌握基于Python+Requests库的接口自动化测试框架的搭建和使用；
6.掌握Locust性能测试框架的使用；
7.掌握如何对APP进行性能测试；
8.掌握在实际的项目中如何灵活运用相关测试技术。

2、知识点：

1）项目介绍
项目简介、项目架构
2）功能测试
功能测试设计思路、自媒体端测试、后台管理端测试、用户APP端测试
3）UI自动化测试
Selenium Grid、搭建自动化测试框架、编写自动化测试脚本
4）接口测试
接口测试流程、基于工具的接口测试、基于代码的接口测试
5）性能测试
Locust框架、APP性能测试

3、免费视频资源配套：

1）北京校区-《综合项目_3天黑马头条实战》密码：pkx4（此免费视频对应上述1、2、3知识点）2） 与知识点4、5相关视频，正在紧张打滚更新中

十一、突击实战视频篇-软件测试自学党应看的实战视频

【视频】《两小时快速入门APP功能测试视频》

【视频】《无基础入门移动自动化Appium框架》

【视频】《全方位讲解性能测试入门基础》

【视频】《python实现头条项目接口自动化测试》

【视频】《快速掌握测试编写报告》

【视频】《白盒测试用例设计》

【视频】《黑盒测试用例设计》

【视频】《10节课带你学会测试计划编写篇》

【视频】《AirTest自动化测试视频》

【视频】《微信小程序测试实战—全网首发》

【视频】《安全渗透测试之sql注入-全网首发》

【视频】《Charles抓包工具测试实战》

【视频】《手把手教你搭建测试环境部署项目》

【视频】《Web应用服务器安全测试》

【视频】《Excel利用openpyxl库管理接口用例》

【视频】《web自动化入门实战》

如果对你有帮助的话，点个赞收个藏，给作者一个鼓励。也方便你下次能够快速查找。

···································^^····································

零基础想转行做软件测试当然是可以的，只要你感兴趣一切都不是问题，多余的废话也不说了，我直接就上学习线路图了！

软件测试学习线路图

第一阶段：

该阶段免费配套视频

5天测试班基础视频教程 密码：qoal

第二阶段：

免费配套视频

1）《linux视频教程》
2）《mysql视频教程》

第三阶段：

配套视频

1）《6天带你玩转python》 密码：dvbt

第四阶段：

配套视频

1）《6天带你玩转python》 密码：dvbt

第五阶段：

资源配套：

1）《2天web自动化入门教程》 密码：dnyx

第六阶段：

资源配套：

1）《移动端项目测试视频》 密码：3gyl

第七阶段：

资源配套：

1）《2天带你掌握接口基础》 密码：v5bq

第八阶段：

有用大家伙点个赞哦！谢谢了

···································^^····································

这个提问下聚集了太多软件测试培训的友商机构，怎么能少了我测牛学堂？

细心观察你会发现，每个友商的答案都是大同小异，告诉你测试要学什么，学哪些东西，第一阶段如何如何，第二阶段如何如何……

这些看起来很专业，说的也对，但对于零基础的小白来说，你看了也看不懂，还不如直接看招聘网站，企业需要你会什么，你就应该学什么，简单粗暴，而且有效：

如此种种，传送门：

只有找到了软件测试的工作，才算入门了软件测试，只有自己能力满足了企业的招聘需求，企业才会录用你，因此软件测试入门对于零基础的小白来说就是企业需要你会什么，你就学什么，把它学好就可以大大方方出去面试了。

我们测牛学堂作为专注软件测试培训的机构，课程设置也是贴合市场，每季度会根据企业用人的标准适当更新，毕竟我们做的是就业类的课程，一切为了学生就业，不是为了学习而学习，是为了找工作而学习：

现在很多小白都有报培训班系统学习的意愿，其中一部分人会因为学费昂贵望而却步，线下面授的课程是都不便宜，其实线上直播课对于自制力强的同学来说，学习效果是一样的，可以降低很多时间和经济成本，性价比相对更高，我们测牛学堂不做录播网课，只有真人实时直播，学习中的疑问都可以当堂解决。

牛哥这样说，并不是因为我们只做线上课，屁股决定脑袋所以这么引导大家去学线上课，线下面授价格贵，学生学线下我们反而多赚钱，本小编就是喜欢说实话，实事求是而已。

···································^^····································

对于零基础的小白来说，肯定是要先学习基本理论知识，从功能测试开始的，不可能上来就学什么测试开发的。2020年了，软件测试不是朝阳行业了，现在产品经理都已经没什么热度了。提问问的也比较笼统，一般不管自学什么，我的建议都是，先知乎或者百度上看一些，这个职业到底是干啥的，网易云课堂，腾讯课程，里边都有一些扫盲的科普教学视频，基本都是培训机构故意发出去引流的，也可以看看。最靠谱的是问问自己身边朋友，有没有做软件测试的，多请人家吃吃饭，唠唠嗑，让人家给你指指路不是很随意么。

自己没事多去招聘网站搜一下，看看市场对测试的技能要求都有哪些。看到提问下很多人推荐自学，软件测试是一个找BUG的过程，这是产品上线交付前的最后一步，你自己一个人怎么测呢，软件都没有，光看视频看基本职能学会一些理论常识；条件允许的话，也可以报个培训班，市面上只要是个老牌的IT培训机构，基本都有测试课程，比如黑马，达内，千峰等等，也有一些小而精的，专注于软件测试培训的机构，比如测牛学堂，博为峰等等，都可以了解对比，看看他们的课程大纲什么的。

相比较开发入门，入门测试相对要简单，作为新人的你，如果有一个测试经验很丰富的人，在工作中带你，带你熟悉和了解测试日常工作需要及过程（测试流程、文档模板、沟通技巧即常用的工具比如SVN，禅道等工具的简单使用），了解被测试项目的流程和专业术语，大约一两月时间就可以搞定基本的手工测试工作，这就是入门。

大多人可能不太相信，但这确实是真的，因为我的一个朋友就是这么被带出来的。

但是这种短平快（一两月）带出来人（主要指手工功能测试），其能力也是很有限的，缺乏的更是实际的项目经验，和技术储备，其是否能够长久主要还是取决于当事人用不用心和努不努力了。

如果要更全面更好更稳固的投身测试行业，建议最好还是能参加一些专业的测试技术培训课程，全面的学习一些开发语言数据库，操作系统，网络，接口，自动化测试和性能测试的技术知识，一共只要花上4个月左右的时间，这样出来的测试人员肯定比一两月的人所要掌握的技能强好多。

·······································································

软件测试的工作室做什么的？

我们精选了一下网友答案：

从名称来看，应该是做类似于软件测试外包的公司。很多公司受制于成本，使用频率的因素，并没有自己的测试团队，或者由于自身测试团队专业度不够、测试人员不足、测试周期紧张、测试机器不全等因素，为了避免产品上线后出现问题，影响产品的运营和市场推广效果，此时会选择测试外包的公司来对自己开发的项目做测试。

···································^^····································

软件测试工程师简单的说是软件开发过程中的质量检测者和保障者，负责软件质量的把关工作。软件测试工程师具体工作有： 1. 测试和发现软件中存在的软件缺陷 使用各种测试技术和方法来测试和发现软件中存在的软件缺陷。测试技术主要分为黑盒测试和白盒测试两大类。其中黑盒测试技术主要有等价类划分法、边界值法、因果图法、状态图法、测试大纲法以及各类典型的软件故障模型等;白盒测试的主要技术有语句覆盖、分支覆盖、判定覆盖、基本路径覆盖等; 2.测试工作需要贯穿整个软件开发生命周期 完整的软件测试工作包括单元测试、集成测试、确认测试和系统测试工作。单元测试工作主要在编码阶段完成，由开发人员和软件测试工程师共同完成，其主要依据是详细测试。集成测试的主要工作测试软件模块之间的接口是否正确实现，基本依据是软件体系结构设计。确认测试和系统测试是在软件开发完成后，验证软件的功能与需求的一致性、验证软件在相应的硬件条件下的系统功能是否满足用户需求，其主要依据是用户需求。

···································^^····································

软件测试工程师的主要工作是：通过各种方式测试一个已开发成功的软件系统的可靠性。软件测试方法通常有：黑盒测试、白盒测试、语句测试等。至于说还想学习一些有关软件开发和测试的知识，那就需要学习软件工程这门课程了。 再看看别人怎么说的。

·······································································

亲测！美团饿了么在“偷听”你说话？

我们精选了一下网友答案：

···································^^····································

作者 | 李丹琦、郝俊慧

来源 | IT时报 （ID：vittimes）

原标题：隔屏有耳，记者耗时3个月测试，美团饿了么是否在“偷听”？

2018年11月中旬，上海的孙女士在和同事闲聊时提到想喝CoCo奶茶，在打开饿了么App时，在推荐商家首位看见了CoCo奶茶。让孙女士疑惑的是，自己之前从未在饿了么买过CoCo奶茶，在她手机后台，同时打开了淘宝、微信、知乎、微博等多个App，“此前也没有使用任何手机App搜索过CoCo奶茶的相关信息。”

无独有偶，北京一位网友燃玉（化名）在2018年11月14日晚上8点左右，跟朋友说想吃鳗鱼饭，1分钟后打开支付宝上的饿了么应用，推荐位顶部恰巧显示着一家鳗鱼饭的外卖店，此时距离他上次下单鳗鱼饭相隔23天。

为了再次验证这一现象是否纯属巧合，次日中午，燃玉自行对着手机进行了一轮测试。在没有打开应用的情况下，他大声说想吃披萨，随后才打开了支付宝里的饿了么应用，在推荐位首页中出现了一家披萨店，“这家店的披萨我曾经点过，但也应该是半个月前。”

燃玉使用的手机型号是小米MIX2，系统版本为MIUI9.6，在他的手机上，包括支付宝在内的大多数应用都有录音权限，且这一权限在安装时就已经默认启用。“连续两次都遇到了同样的情况，难道是支付宝或者饿了么在偷听我说话？”燃玉猜测。

12月15日，燃玉将自己遇到的情况第一时间发布在了微博中。根据微博后的154条评论来看，与燃玉有类似经历怀疑App“偷听”的人数占六分之一。

孙女士和燃玉到底是杞人忧天还是确有其事？从2018年11月到2019年3月，《IT时报》记者用了3个多月的时间，通过模拟用户使用场景，对安卓手机、苹果手机、苹果平板电脑上的饿了么和美团外卖进行了多轮测试。

2018年11月19日，《IT时报》记者以两款苹果手机为测试工具进行了测试。首先，打开饿了么App和美团外卖App，确认前三屏推荐商家，然后关掉屏幕（两款App应仍在后台运行），随后两名记者以聊天的形式提到，中午要吃日式料理（为了保证测试公平，记者选了一类从未点过或搜索过的饭食）。

两分钟之后，再次进入饿了么，首屏第二推荐位出现一家“**屋日式料理”。蹊跷的是，两分钟后，当记者再次打开页面，这家店又神奇地消失了，而原先第一位和第三位的商家却都没有变。

这是巧合吗？关掉屏幕后，两位记者继续聊着日本料理，6分钟后再次打开饿了么，这家神奇的“日式料理店”又出现了，只是这次位置下降到了第七位。再次关掉，两分钟后再次打开，同样的事情发生了，这家店又消失了，而其他推荐商家基本保持没变。

紧接着，记者又以港式料理、茶餐厅为主题开始聊天。同样的现象再次出现，10分钟后，一家“××广东肠粉”和一家知名港式连锁店出现在首屏推荐位，两分钟后，这两家店又“神秘消失”了。

在大概1个多小时的时间里，记者进行了多次测试，饿了么出现同类现象的概率大概在80%左右，准确度非常高，其中一家被精准提到的门店，虽然在第一天没有出现，却在第二天出现在“品质优选”频道。美团外卖则基本没出现类似情况。

测试中记者也发现，饿了么和美团外卖并没有被苹果手机授权打开麦克风，但同一体系内的天猫、微信的麦克风都在开启状态。

第二天，记者将天猫、微信的麦克风权限都取消，再次进行测试，相关情况没有出现。

为了获得更准确的测试结果，在接下来的3个月中，记者在不同场景、不同时间段进行了数十次测试，并将测试设备扩展到iPhone、安卓手机和iPad。

以3月9日11:57开启的一轮测试为例，在以“我想点一个凉皮”为关键词重复多次之后，一家名为“凉皮先生”的店铺出现在了苹果手机美团外卖App首页推荐商家的第20位，但同样在刷新之后，这家“凉皮先生”外卖店消失不见了。记者当即拨打这家凉皮先生店铺的电话，对方表示，当天的确在美团外卖上开启了店铺推广，但并没有刻意刷新曝光率。

此前，记者曾以“今夜烧烤小龙虾”“黄焖鸡米饭”“塔哈尔新疆菜”和“元宝饺子”作为关键词，分别在2018年12月20日、12月29日、12月30日以及2019年1月3日对苹果和安卓版的美团外卖App进行了相同测试，以上四次测试中均出现了与关键词一致的结果。

综合所有测试结果，精准推荐和同类推荐出现的概率超过70%。但不同的是，第一次测试同类情况比较多见的饿了么，在今年1月1日以后，此类现象基本消失。但原本情况并不明显的美团外卖，态势却有上升之势。

到底这种推荐店铺的出现，是什么原因呢？

饿了么相关人士表示，所谓“监听用户日常对话并做信息分析”，是一种无端猜测，饿了么既没有做类似的产品设置，也不具备相关技术条件，饿了么严格保护用户隐私，任何必要的信息采集都会在取得用户事先同意的前提下进行，在合法合规的范围内使用。

美团人士则回应称，有关“根据麦克风收录的语音关键词为点外卖的用户做推荐”的行为并不存在，美团外卖只会在获得用户语音使用授权，且用户主动发起美团外卖App内的语音输入行为时，才会使用麦克风。此外，美团外卖仅会在用户表达了明确需求信息、进行主动查询后，才会进行相关推荐输出。

那么，到底是巧合，还是确实这些外卖App在使用麦克风“偷听”用户？

3月13日，《IT时报》记者来到上海软件测评中心对两款App进行数据包的抓取测试。

在数据抓取过程中，由于饿了么App使用了开发者设定的证书绑定技术，导致非开发人员无法使用Charles等抓包工具抓取饿了么App的数据包。但从美团外卖App的抓包结果来看，在测试的一段时间内，抓包工具中抓取到了近400个与美团外卖相关且大小不一的数据包。这其中也包含在安静的环境中美团外卖App产生的少量数据包。

“我们抓的这些包，就是打开App操作时，手机和服务器之间通信的各种数据，”上海软件测评中心技术人员表示，如果App偷听的情况真实存在，那么就隐藏在这些数据包中。但难点在于如何在大量数据中分辨出哪些是客户端与App之间正常的请求数据、哪些是App用于收集用户语音信息的数据。

该技术人员还表示，即便是分辨出了数据包的信息，也不排除软件开发者在数据包内用内部的加密方式对语音数据进行二次加密的可能。

由于分辨数据包需要花费大量的时间，所以短期内无法获得对数据包进行分析后的结果。

美团对此表示，美团外卖App在退出切换过程中，有可能在后台同步App性能数据（如系统稳定性数据、图片加载成功率等），以便完善提升用户体验，同步内容不涉及任何用户个人信息。

此外，在获得了麦克风权限的前提下，一款App可以通过另一款App获得信息吗？国内知名白帽子公司KEEN GeekPwn实验室宋宇昊认为，目前这一技术已经完全成熟，且有一条共享资源的传输链路。

“如果某App具有麦克风的访问权限，理论上，此款聊天App可以监听周围环境的声音。在此过程中，聊天App可以将语音输入的代码嵌在其App内部，用于将人类的语言转换成文字，并上传到服务端。服务端将这些文本进行处理后，与对应的用户进行绑定。如果说两个App之间有业务的合作，那么他们将可以共享这项资源，”宋宇昊表示，“按现在的网速和机器性能，这波操作可以认为是实时完成的。”

然而，尽管这一情形在技术上可以实现，但宋宇昊认为，这并不代表相关App已经进行了这样的操作。

腾讯手机管家安全专家杨启波对此表示也认同，“有麦克风权限，不一定就会偷听用户说话。”杨启波表示，尽管麦克风“偷听”还很难确定，但出现如此巧合，极有可能是App在利用其他渠道获取的大数据进行测算，“比如根据你当前所处的位置、经常光顾的餐厅、之前的搜索习惯等等数据来预测你的潜在需求。

现在的大数据智能推荐平台已经可以通过多方面来运算，比如某些短视频App，可能会根据你1~2个小时候刷新短视频的习惯、 停留时长……来推断你的兴趣范围等。”

另一家数据公司负责人则表示，外卖App 推送相关的店铺有两方面可能，一是推荐系统的冷启动机制，即虽然用户没有在App上搜索或者点击过，但推荐系统会根据用户所在的区域、年龄层次、时间段等大范围数据来做推荐，但也不排除确实有些App会利用麦克风权限对订餐、店铺等语音信息进行获取。

指掌易科技相关技术负责人觉得出现类似情况纯属巧合，“在国内监管日趋严格、对个人信息安全保护重视程度日益加强的背景下，无论从业务本身还是法律范畴来看，监听用户对话并不是一个明智的选择，这么做只会给企业经营带来非常大的风险，得不偿失。所以基本可以排除某个App自动监听的可能。” 

经过3个多月的测试，对于外卖App是否在“偷听”用户说话，答案依然是未知的。

如果说是“巧合”，那么巧合的次数未免太多了些。为了避免出现因搜索、输入等非语音方式造成数据被读取，后期测试的App都是重新安装过的，甚至对某些设备做了刷机处理，而选择测试的，也都是此前从来没有点过，也没有在手机中留下痕迹的菜系。因此，很难解释为什么会在测试中突然出现相关店铺，而更难解释的是，再度刷新后，其他店铺依然没变，只有这家店铺消失了。

但如果不是“巧合”，从现有的技术测试和业内人士的回应来看，似乎通过麦克风“偷听”是一件吃力不讨好的事，企业不太可能做。

可是，有“被偷听”疑问的并非只有孙女士和燃玉，涉及的App也不只是外卖。

在社交网站上搜索“App偷听”的关键字，类似案例不胜枚举。比如，知乎网友“米可”和朋友聊到单位的富贵竹花瓶，当天晚些时候便在淘宝上看到了富贵竹相关的店铺推广；知乎网友“不想起床”在睡觉之前给宝宝讲古埃及文明，隔天便在淘宝上收到了金字塔摆件和木乃伊摆件的推送；还有人表示跟家人对话说要去超市买牙线，晚上打开京东，在推荐里就看到了牙线的推荐等等……身边的同事也有过刚和家人聊了银行贷款，接着就在今日头条上看到网贷平台和银行消费贷广告的情况。

然而，无论觉得如何不对劲，这些巧合都没有答案。

但另一个巧合是，今年1月开始，陆陆续续有大量App更改了自己的隐私政策，随着国内《网络安全法》收紧，欧盟《通用数据保护条例》（简称GDPR）给谷歌等互联网巨头开出罚单，对于用户的个人信息获取、App权限的索取，中国的互联网公司们明显变得谨慎许多。也正是今年1月之后，饿了么上再没有同类现象在测试中被发现。

本文作者 李丹琦、郝俊慧，首发于公众号“IT时报”（ID：vittimes）

本期编辑 邢潭

推荐阅读

• 发表于 2020-11-19 09:04
• 阅读 ( 578 )
• 分类：软件测评