加速度計,又稱加速度傳感器,目前在智慧型手機上被廣泛地應用,可以通過測量手機在各個方向上的「應力」來得出加速度,像手機中的計步器、「搖一搖」等許多功能都基於這些傳感器來實現。以往業界普遍認為其和個人隱私信息無關,因此在功能設置上,手機APP可以「無門檻」調用加速度計讀數或是獲取相應權限。
但是近日,在國際四大信息安全會議之一的「網絡與分布式系統安全會議」上,一項來自浙江大學、加拿大麥吉爾大學、多倫多大學學者團隊的最新研究成果顯示:部分智慧型手機APP可在用戶不知情且無需系統授權的情況下,利用手機內置的加速度傳感器來採集手機揚聲器所發出聲音的震動信號,實現對用戶語音的竊聽。
利用通話時的手機震動實現竊聽
「加速度傳感器是目前智慧型手機中最常見的一種嵌入式傳感器,它主要用於探測手機本身的移動,常見的應用場景包括移動檢測,步數統計和遊戲控制等。」浙江大學網絡空間安全學院院長、教授任奎告訴科技日報記者,它之所以能被用來監聽電話,主要是由於聲音信號是一種由震動產生的、可以通過介質傳播的聲波,手機揚聲器發出的聲音會引起手機的震動,而加速度傳感器可以靈敏地感知這些震動,因此攻擊者可以通過它來捕捉手機震動進而破解其中所包含的信息。
通過加速度傳感器竊聽語音的準確率有多高?「竊聽語音的準確率與具體的竊聽任務有關。根據我們的實驗結果,在關鍵字檢測任務中,這種竊聽攻擊識別用戶語音中所攜帶的關鍵字的平均準確率達到了90%。」任奎說,在實際攻擊中,攻擊者還可以結合上下文信息和實際語言中各個詞彙的使用頻率,進一步提升語音竊聽的準確率。
手機加速度計可以收集語音信息,這意味著攻擊者可以從用戶的手機中竊取多種隱私數據。「比如,攻擊者也許可以從語音信息中提取出用戶的家庭住址、信用卡信息、身份證號、用戶名密碼等一系列重要信息;通過竊聽手機地圖的語音導航系統,攻擊者也許能提取出一些跟位置有關的關鍵字,推斷出用戶目前的位置以及目的地;通過竊聽用戶手機播放的音樂和視頻,攻擊者可以推斷出用戶在這些方面的偏好。」任奎總結說,這種攻擊方式對用戶隱私安全具有很大威脅。
此外,任奎進一步強調,這種攻擊對場景並沒有特別的要求,無論手機用戶將手機放在桌子上還是拿在手中,「甚至邊使用手機邊走路,攻擊者都可以準確地識別出手機揚聲器所播放的語音信息。」
「傳感器數據」亟待重新審視
據了解,現行的法律法規對個人敏感信息的保護,主要是針對證件號碼、金融帳戶等具體的個人敏感信息。由於加速計數據本身並不屬於個人敏感信息,攻擊者可以利用計步軟體等必須用到加速計的APP「合理」地對加速計數據進行收集,因此採集加速計數據這種行為本身並不違法。這就意味著,這種攻擊方式目前仍處於法律法規的灰色地帶。「但使用或販賣分析出的個人敏感信息應該是違法的。」任奎說。
為有效防禦此類攻擊,任奎建議,首先應該從技術層面加大對行動裝置物理層安全的研究投入,了解各類傳感器的實際數據採集能力以及它們可能造成的隱私問題,對可能存在的各類攻擊做到心中有數。然後依此重新設計智慧型手機作業系統中各類傳感器的權限使用機制,從技術的角度儘可能地降低數據被濫用的可能性。
此外,任奎還補充道:「我們應當從法律法規上細化對敏感信息的定義和使用規範。除了對證件號碼、銀行帳戶、通信記錄和內容等具體的個人敏感信息進行保護外,還應對可能包含這些信息的原始傳感器數據進行保護,規範和限制這類數據的採集和使用方式。」
那麼作為普通消費者,我們目前有機會防止自己的手機被竊聽嗎?在任奎看來,各大手機廠商提出進一步解決方案之前,消費者能夠採取的最有效也最便捷的防禦方式,就是通過耳機來接聽電話或語音信息。手機中的加速計與耳機間存在著物理隔離,使其無法監測到耳機發出的震動,所以通過耳機播放的聲音是不會被這種攻擊竊聽的。