加速度計,又稱加速度傳感器,目前在智能手機上被廣泛地應(yīng)用,可以通過測量手機在各個方向上的“應(yīng)力”來得出加速度,像手機中的計步器、“搖一搖”等許多功能都基于這些傳感器來實現(xiàn)。以往業(yè)界普遍認為其和個人隱私信息無關(guān),因此在功能設(shè)置上,手機APP可以“無門檻”調(diào)用加速度計讀數(shù)或是獲取相應(yīng)權(quán)限。

但是近日,在國際四大信息安全會議之一的 “網(wǎng)絡(luò)與分布式系統(tǒng)安全會議”上,一項來自浙江大學(xué)、加拿大麥吉爾大學(xué)、多倫多大學(xué)學(xué)者團隊的最新研究成果顯示:部分智能手機APP可在用戶不知情且無需系統(tǒng)授權(quán)的情況下,利用手機內(nèi)置的加速度傳感器來采集手機揚聲器所發(fā)出聲音的震動信號,實現(xiàn)對用戶語音的竊聽。

利用通話時的手機震動實現(xiàn)竊聽

“加速度傳感器是目前智能手機中最常見的一種嵌入式傳感器,它主要用于探測手機本身的移動,常見的應(yīng)用場景包括移動檢測,步數(shù)統(tǒng)計和游戲控制等。”浙江大學(xué)網(wǎng)絡(luò)空間安全學(xué)院院長、教授任奎告訴科技日報記者,它之所以能被用來監(jiān)聽電話,主要是由于聲音信號是一種由震動產(chǎn)生的、可以通過介質(zhì)傳播的聲波,手機揚聲器發(fā)出的聲音會引起手機的震動,而加速度傳感器可以靈敏地感知這些震動,因此攻擊者可以通過它來捕捉手機震動進而破解其中所包含的信息。

通過加速度傳感器竊聽語音的準確率有多高?“竊聽語音的準確率與具體的竊聽任務(wù)有關(guān)。根據(jù)我們的實驗結(jié)果,在關(guān)鍵字檢測任務(wù)中,這種竊聽攻擊識別用戶語音中所攜帶的關(guān)鍵字的平均準確率達到了90%。”任奎說,在實際攻擊中,攻擊者還可以結(jié)合上下文信息和實際語言中各個詞匯的使用頻率,進一步提升語音竊聽的準確率。

手機加速度計可以收集語音信息,這意味著攻擊者可以從用戶的手機中竊取多種隱私數(shù)據(jù)。“比如,攻擊者也許可以從語音信息中提取出用戶的家庭住址、信用卡信息、身份證號、用戶名密碼等一系列重要信息;通過竊聽手機地圖的語音導(dǎo)航系統(tǒng),攻擊者也許能提取出一些跟位置有關(guān)的關(guān)鍵字,推斷出用戶目前的位置以及目的地;通過竊聽用戶手機播放的音樂和視頻,攻擊者可以推斷出用戶在這些方面的偏好。”任奎總結(jié)說,這種攻擊方式對用戶隱私安全具有很大威脅。

此外,任奎進一步強調(diào),這種攻擊對場景并沒有特別的要求,無論手機用戶將手機放在桌子上還是拿在手中,“甚至邊使用手機邊走路,攻擊者都可以準確地識別出手機揚聲器所播放的語音信息。”

“傳感器數(shù)據(jù)”亟待重新審視

據(jù)了解,現(xiàn)行的法律法規(guī)對個人敏感信息的保護,主要是針對證件號碼、金融賬戶等具體的個人敏感信息。由于加速計數(shù)據(jù)本身并不屬于個人敏感信息,攻擊者可以利用計步軟件等必須用到加速計的APP“合理”地對加速計數(shù)據(jù)進行收集,因此采集加速計數(shù)據(jù)這種行為本身并不違法。這就意味著,這種攻擊方式目前仍處于法律法規(guī)的灰色地帶。“但使用或販賣分析出的個人敏感信息應(yīng)該是違法的。”任奎說。

為有效防御此類攻擊,任奎建議,首先應(yīng)該從技術(shù)層面加大對移動設(shè)備物理層安全的研究投入,了解各類傳感器的實際數(shù)據(jù)采集能力以及它們可能造成的隱私問題,對可能存在的各類攻擊做到心中有數(shù)。然后依此重新設(shè)計智能手機操作系統(tǒng)中各類傳感器的權(quán)限使用機制,從技術(shù)的角度盡可能地降低數(shù)據(jù)被濫用的可能性。

此外,任奎還補充道:“我們應(yīng)當從法律法規(guī)上細化對敏感信息的定義和使用規(guī)范。除了對證件號碼、銀行賬戶、通信記錄和內(nèi)容等具體的個人敏感信息進行保護外,還應(yīng)對可能包含這些信息的原始傳感器數(shù)據(jù)進行保護,規(guī)范和限制這類數(shù)據(jù)的采集和使用方式。”

那么作為普通消費者,我們目前有機會防止自己的手機被竊聽嗎?在任奎看來,各大手機廠商提出進一步解決方案之前,消費者能夠采取的最有效也最便捷的防御方式,就是通過耳機來接聽電話或語音信息。手機中的加速計與耳機間存在著物理隔離,使其無法監(jiān)測到耳機發(fā)出的震動,所以通過耳機播放的聲音是不會被這種攻擊竊聽的。

標簽: 竊聽器