正在加载中

信息安全又现漏洞,传感器竟成"窃听器"

2020-04-01 11:18:42 215

加速度计,也称为加速度传感器,目前广泛应用于智能手机中。加速度可以通过测量手机各个方向的“应力”来获得。许多功能,如计步器和手机中的“震动”都是基于这些传感器实现的。过去,业界普遍认为这与个人隐私信息无关。因此,在功能设置方面,手机应用程序可以调用加速度计读数“无阈值”或获得相应的权限。

然而,最近,在四大国际信息安全会议之一的“网络和分布式系统安全会议”上,来自浙江、加拿大麦吉尔麦吉尔和多伦多大学学者的最新研究结果表明,一些智能手机APP可以使用内置在手机中的加速度传感器来收集手机扬声器发出的声音的振动信号,而无需用户的知识和系统授权,从而实现窃听用户的声音。

利用手机振动实现拦截

“加速度传感器是智能手机中最常见的嵌入式传感器。它主要用于检测手机本身的运动。常见的应用场景包括移动检测、步数和游戏控制。浙江该大学网络安全学院的院长兼教授任奎告诉《每日科学》记者,它之所以能被用来监控手机,主要是因为声音信号是一种由振动产生的声波,可以通过介质传播。移动电话的扬声器发出的声音会引起移动电话的振动,加速度传感器可以灵敏地感应到这些振动,因此攻击者可以通过它捕捉移动电话的振动并破解其中包含的信息。

通过加速度传感器窃听声音有多准确?“声音窃听的准确性与具体的窃听任务有关。根据我们的实验结果,在关键词检测任务中,这种窃听攻击在识别用户语音中携带的关键词时平均准确率达到90%任奎表示,在实际攻击中,攻击者还可以将上下文信息与实际语言中各种词语的使用频率结合起来,进一步提高语音窃听的准确性。

手机加速度计可以收集语音信息,这意味着攻击者可以从用户手机上窃取各种私人数据。例如,攻击者可能能够从语音信息中提取一系列重要信息,如用户的家庭地址、信用卡信息、身份证号码、用户名和密码。通过轻敲移动电话地图的语音导航系统,攻击者可能能够提取与位置相关的一些关键词,并推断用户的当前位置和目的地。通过窃听用户手机播放的音乐和视频,攻击者可以推断出用户在这些方面的偏好。”任奎得出的结论是,这种类型的攻击对用户的隐私和安全构成了巨大威胁。

此外,任奎进一步强调,这种攻击对场景没有特殊要求,无论手机用户是把手机放在桌子上还是拿在手里,“即使他边走边用手机,攻击者也能准确识别手机扬声器播放的语音信息。”

“传感器数据”亟待重新审视

据了解,现行法律(65139)保护敏感的个人信息,主要是特定的敏感个人信息,如身份证号码和金融账户。由于加速度计数据本身不是个人敏感信息,攻击者可以通过应用程序“合理地”收集加速度计数据,例如计步器软件,该软件必须使用加速度计,因此收集加速度计数据本身并不违法。这意味着这种攻击方法仍处于法律的灰色地带(65139)。"但使用或出售被分析的敏感个人信息应该是非法的."任奎说。

为了有效防御此类攻击,任奎建议,首先,我们应该从技术层面增加对移动设备物理层安全的研究投入,了解各种传感器的实际数据采集能力及其可能导致的隐私问题,并了解各种可能的攻击。然后重新设计智能手机操作系统中各种传感器的权限使用机制,从技术角度尽可能减少数据滥用的可能性。

此外,任奎补充道:“我们应该从法律法规中提炼敏感信息的定义和用法。除了保护特定的个人敏感信息(如证书号码、银行账户、通信记录和内容)之外,还应保护可能包含此类信息的原始传感器数据,以规范和限制此类数据的收集和使用。”

那么,作为普通消费者,我们现在有机会阻止手机被窃听吗?根据任奎,在主要移动电话制造商提出进一步的解决方案之前,消费者可以采取的最有效和最方便的防御方法是通过耳机接听电话或语音消息。手机中的加速度计与耳机物理隔离,因此无法监控耳机发出的振动,因此通过耳机播放的声音不会被此类攻击窃听。(记者马爱平)


400-806-9611

周一至周日 9:00-18:00(仅收市话费)

售后服务