「是否允許該App使用您的麥克風?」「是否允許該App共享您的位置信息?」「是否允許該App訪問您的通訊錄?」……
「是否允許」這一句式,越來越多地出現在用戶使用App的時候。只有經過用戶允許,App才能收集手機麥克風、照相機、位置等敏感信息。但是「是否允許」真的能將手機的安全漏洞完全堵死嗎?
在2月23日召開的國際四大信息安全會議之一的網絡與分布式系統安全會議上,浙江大學網絡空間安全學院院長任奎團隊帶來了一個令人心驚的消息。該研究團隊在會上發表論文稱,他們發現了一個新攻擊路徑——當前智慧型手機App可在用戶不知情、無需系統授權的情況下,利用手機內置加速度傳感器採集手機揚聲器所發出聲音的震動信號,實現對用戶語音的竊聽。
3月11日,任奎在一場線上論壇接受記者採訪時表示,這一攻擊路徑不僅隱蔽而且「合法」。也就是說,用戶很可能在毫無感知的情況下洩露隱私,而攻擊者並不違法。
據了解,加速度傳感器是目前智慧型手機中最常見的一種嵌入式傳感器,它主要用於探測手機本身的移動,常見的應用場景包括移動檢測,步數統計和遊戲控制等。
「加速度傳感器之所以能被用來監聽電話,主要是由於智慧型手機本身的物理結構。由於聲音信號是一種由震動產生的可以通過氣態,液態,固態的各類介質進行傳播的聲波,因此手機揚聲器發出的聲音會引起手機本身的震動。而加速度傳感器可以準確地感知到手機本身的震動,因此攻擊者可以通過加速傳感器來捕捉聲音信號引起的手機震動進而推斷出其中所包含的敏感信息。」任奎說。
那麼,加速度傳感器竊聽語音的準確率有多高?是否需要在特定場景下才能進行?對此,任奎表示,竊聽語音的準確率與具體的竊聽任務有關。「根據我們的實驗結果,在關鍵字檢測任務中,這種竊聽攻擊可以以平均90%的準確率識別並定位用戶語音中所攜帶的關鍵字。」
據任奎介紹,這種竊聽方式之所以不違反當前監管部門的規定,是因為加速計數據在各類手機中均被定義為非敏感數據,各類手機應用可以在無需申請權限的情況下自由地採集這些數據。
根據中央網信辦、市場監管總局等部門1月25日發布的關於開展App違法違規收集使用個人信息專項治理的公告顯示,目前重點治理的是APP運營者違法違規收集個人信息的行為,要求APP運營者不得收集與其提供的服務無關的個人信息。
「這種竊聽攻擊實際上是攻擊者在拿到了加速計數據之後對數據進行進一步分析的手段。攻擊者完全可以先通過計步軟體等必須用到加速度傳感器的APP『合理合法』地對加速計數據進行收集,進而發起竊聽攻擊,因此這種攻擊目前仍屬於法律法規的灰色地帶。但使用或販賣分析出的個人敏感信息顯然是違法的。」任奎說。
「建議各大手機廠商提高加速度傳感器的權限級別,儘量避免各類應用在非必要的情況下採集加速計數據。與此同時,各大廠商還應對加速計的採樣頻率進行限制,或通過系統內置濾波器提前過濾掉加速度傳感器信號中包含最多語音信息的高頻部分。」為了避免將來出現類似的漏洞,任奎建議各大廠商重新評估各個傳感器的安全性和敏感性,修改Android作業系統對手機App調用各種傳感器數據的使用權限,杜絕未來的側信道攻擊路徑。
(記者 何可)