CamScanner 在恶意代码层面今天大概率是安全的,但围绕云端处理的取舍依然存在:文档会上传至开发商运营的云服务器,免费版集成有收集设备信息的广告 SDK,完整功能需要登录账号并将操作绑定到长期资料。Kaspersky Lab 在 2019 年发现的 Trojan-Dropper 事件已经处理,但结构性问题依旧值得思考。本文整理公开事实,说明取舍,把判断留给您。
先说明利益相关:我们做的是ScanLens,与 CamScanner 处于同一类目。本文力求基于事实、保持公正。下文引用的内容均来自公开来源:Kaspersky Lab 的研究报告、Forbes 与 The Verge 的报道,以及 CamScanner 公开发布的隐私政策。我们不会做超出公开记录的任何主张。
关于 CamScanner
CamScanner 是上海合合信息科技股份有限公司(INTSIG)开发的文档扫描应用,在 Android 与 iOS 平台运营超过十年,是全球下载量最高的扫描器之一。功能涵盖文档扫描、OCR、云存储、PDF 转换与文件分享,在国内市场也有相当的用户基础。
应用采用免费增值模式:免费版包含广告,Premium 订阅去广告并解锁更多功能。CamScanner 完整功能需要注册账号,扫描的文档默认同步到 CamScanner 云端服务器。
多年来,CamScanner 一直是手机端文档扫描的常见选择。直到 2019 年 8 月,情况出现了变化。
2019 年安卓恶意代码事件
2019 年 8 月,知名安全厂商 Kaspersky Lab 的研究员在 CamScanner 安卓版本中发现了恶意代码。具体来说,是一个 Trojan-Dropper 组件(Trojan-Dropper.AndroidOS.Necro.n),内嵌于 CamScanner 集成的第三方广告 SDK 中。
该 Trojan-Dropper 可在用户设备上下载并执行额外的恶意代码。根据 Kaspersky 的分析,该模块能够弹出强制广告、在用户不知情的情况下订阅付费服务,并执行从远程服务器下发的任意代码。事件足够严重,以致Google 将 CamScanner 从 Play Store 暂时下架。Forbes、The Verge、ZDNet 等众多科技媒体均做了报道。
对许多用户而言,这是首次直观看到一个用户量巨大、评分良好的工具型应用,因为开发商集成的第三方 SDK 而成为恶意代码的载体。问题不在于黑客攻入,而在于供应链。
事件后的处理
客观来说,INTSIG 反应迅速。CamScanner 移除了相关广告 SDK,发布了新版本,应用最终在 Google Play Store 恢复上架。INTSIG 将问题归因于第三方广告库而非自有代码,这一说法是合理的:通过广告 SDK 引入的供应链风险是移动生态中的已知问题,其他主流应用也曾遇到类似情况。
事件解决后,应用在两大主流应用市场均可下载,同样的问题没有公开重演。这一点应当承认。2019 年的事件不意味着 CamScanner 开发者主动分发恶意代码,而是说明为变现选择的广告 SDK 引入了严重的安全漏洞。值得思考的是,这件事反映出该应用商业模式中的哪些取舍。
数据合规与司法管辖
抛开 2019 年事件不谈,CamScanner 还涉及另一个与漏洞或代码质量无关的隐私话题。INTSIG 总部设在上海,与所有在中国运营的企业一样,需遵守中国的数据相关法律。
中国的数据监管框架包括《网络安全法》(2017)、《数据安全法》(2021)、《个人信息保护法》(2021)等,对企业留存的数据设定了明确的合规要求,也赋予监管机关在依法情形下调取数据的权限。这是法律条文的事实性陈述,无关倾向。
当您使用 CamScanner 扫描文档,文件上传到 CamScanner 云服务器后,数据便存放在受上述法律监管的基础设施上。监管机关是否在 CamScanner 案例中实际调取过用户数据,公开层面并不清楚,但相关法律框架是存在的。这套框架对国内运营的所有云服务一视同仁。
对于扫描个人财务文件、法律记录、医疗信息或商业合同的用户而言,数据存放位置是值得权衡的因素之一。如果您的工作流涉及跨境业务,根据《个人信息保护法》第 38 条,跨境提供个人信息还需通过国家网信办的安全评估或取得相应认证。这是结构性问题,不是 bug。
这并非 CamScanner 独有,任何在某一国家管辖下的企业运营的应用都受当地数据法律约束。问题是:对您要扫描的内容敏感度而言,所选服务的数据存放位置是否合适。
CamScanner 隐私政策的内容
CamScanner 在其官网公开发布的隐私政策列明了一套常见做法:通过账号注册收集用户数据、应用使用分析、为同步而将扫描文档存放在云服务器,以及与第三方分析合作伙伴协作以评估用户行为。
政策明确说明,数据可能在 INTSIG 集团内部(包括境内基础设施)共享,公司在其管辖范围内遵守适用的数据法律。这是云端应用的常见表述。但完全本地化处理的产品,在文档处理这一节的隐私政策只需一句话即可:文档不离开您的设备。
隐私优先方案提供了什么
如果隐私是优先项,以隐私为核心的扫描器在结构上提供以下几种做法:
- 本地 OCR。文字识别在手机本地通过 Apple Vision 或同等本地引擎完成,文档不上传至远程服务器。例如 ScanLens 在 iPhone 上使用 Apple Vision,OCR 过程中文档不会进入任何云端。
- 无需账户。不注册即可安装使用,扫描历史不会绑定到长期账户档案。
- 无广告。不靠广告变现的扫描器没有广告 SDK,也就少了一层潜在的供应链风险。
- 使用您自己的云。如需云同步,可以选择您自己的 iCloud、Google Drive、Dropbox 或 OneDrive,而不是开发商专属的私有云。
- 数据本地。文档保留在您的设备上,在您所在的国家与法律框架下。
这些是结构差异,而非营销话术。它们用不同的架构选择回答同一个基本问题:您的文档保存在哪里,谁有访问权限。
小结
CamScanner 今天安全吗?从恶意代码角度看大概率是安全的,2019 年的事件没有重演。但「没有恶意代码」不等于「隐私性高」。云端处理 + 免费版广告 SDK + 必须登录的账户体系,意味着您的文档会经过比本地处理模式更多的人和系统。低敏感度文档没问题,高敏感度文档则值得考虑结构上更注重隐私的替代方案。
如果您觉得为隐私换工具值得,可以查看ScanLens vs CamScanner 对比,有详细表格与价格分析,或者从 ScanLens 首页开始:免费下载、无需账户、本地 OCR。