信息安全又現(xiàn)漏洞，傳感器竟成“竊聽器”

????加速度計(jì)，又稱加速度傳感器，目前在智能手機(jī)上被廣泛地應(yīng)用，可以通過測量手機(jī)在各個方向上的“應(yīng)力”來得出加速度，像手機(jī)中的計(jì)步器、“搖一搖”等許多功能都基于這些傳感器來實(shí)現(xiàn)。以往業(yè)界普遍認(rèn)為其和個人隱私信息無關(guān)，因此在功能設(shè)置上，手機(jī)APP可以“無門檻”調(diào)用加速度計(jì)讀數(shù)或是獲取相應(yīng)權(quán)限。

????但是近日，在國際四大信息安全會議之一的 “網(wǎng)絡(luò)與分布式系統(tǒng)安全會議”上，一項(xiàng)來自浙江大學(xué)、加拿大麥吉爾大學(xué)、多倫多大學(xué)學(xué)者團(tuán)隊(duì)的最新研究成果顯示：部分智能手機(jī)APP可在用戶不知情且無需系統(tǒng)授權(quán)的情況下，利用手機(jī)內(nèi)置的加速度傳感器來采集手機(jī)揚(yáng)聲器所發(fā)出聲音的震動信號，實(shí)現(xiàn)對用戶語音的竊聽。

????利用通話時的手機(jī)震動實(shí)現(xiàn)竊聽

????“加速度傳感器是目前智能手機(jī)中最常見的一種嵌入式傳感器，它主要用于探測手機(jī)本身的移動，常見的應(yīng)用場景包括移動檢測，步數(shù)統(tǒng)計(jì)和游戲控制等?！闭憬髮W(xué)網(wǎng)絡(luò)空間安全學(xué)院院長、教授任奎告訴科技日報(bào)記者，它之所以能被用來監(jiān)聽電話，主要是由于聲音信號是一種由震動產(chǎn)生的、可以通過介質(zhì)傳播的聲波，手機(jī)揚(yáng)聲器發(fā)出的聲音會引起手機(jī)的震動，而加速度傳感器可以靈敏地感知這些震動，因此攻擊者可以通過它來捕捉手機(jī)震動進(jìn)而破解其中所包含的信息。

????通過加速度傳感器竊聽語音的準(zhǔn)確率有多高？“竊聽語音的準(zhǔn)確率與具體的竊聽任務(wù)有關(guān)。根據(jù)我們的實(shí)驗(yàn)結(jié)果，在關(guān)鍵字檢測任務(wù)中，這種竊聽攻擊識別用戶語音中所攜帶的關(guān)鍵字的平均準(zhǔn)確率達(dá)到了90%。”任奎說，在實(shí)際攻擊中，攻擊者還可以結(jié)合上下文信息和實(shí)際語言中各個詞匯的使用頻率，進(jìn)一步提升語音竊聽的準(zhǔn)確率。

????手機(jī)加速度計(jì)可以收集語音信息，這意味著攻擊者可以從用戶的手機(jī)中竊取多種隱私數(shù)據(jù)?！氨热纾粽咭苍S可以從語音信息中提取出用戶的家庭住址、信用卡信息、身份證號、用戶名密碼等一系列重要信息；通過竊聽手機(jī)地圖的語音導(dǎo)航系統(tǒng)，攻擊者也許能提取出一些跟位置有關(guān)的關(guān)鍵字，推斷出用戶目前的位置以及目的地；通過竊聽用戶手機(jī)播放的音樂和視頻，攻擊者可以推斷出用戶在這些方面的偏好?！比慰偨Y(jié)說，這種攻擊方式對用戶隱私安全具有很大威脅。

????此外，任奎進(jìn)一步強(qiáng)調(diào)，這種攻擊對場景并沒有特別的要求，無論手機(jī)用戶將手機(jī)放在桌子上還是拿在手中，“甚至邊使用手機(jī)邊走路，攻擊者都可以準(zhǔn)確地識別出手機(jī)揚(yáng)聲器所播放的語音信息?！?/p>

????“傳感器數(shù)據(jù)”亟待重新審視

????據(jù)了解，現(xiàn)行的法律法規(guī)對個人敏感信息的保護(hù)，主要是針對證件號碼、金融賬戶等具體的個人敏感信息。由于加速計(jì)數(shù)據(jù)本身并不屬于個人敏感信息，攻擊者可以利用計(jì)步軟件等必須用到加速計(jì)的APP“合理”地對加速計(jì)數(shù)據(jù)進(jìn)行收集，因此采集加速計(jì)數(shù)據(jù)這種行為本身并不違法。這就意味著，這種攻擊方式目前仍處于法律法規(guī)的灰色地帶。“但使用或販賣分析出的個人敏感信息應(yīng)該是違法的。”任奎說。

????為有效防御此類攻擊，任奎建議，首先應(yīng)該從技術(shù)層面加大對移動設(shè)備物理層安全的研究投入，了解各類傳感器的實(shí)際數(shù)據(jù)采集能力以及它們可能造成的隱私問題，對可能存在的各類攻擊做到心中有數(shù)。然后依此重新設(shè)計(jì)智能手機(jī)操作系統(tǒng)中各類傳感器的權(quán)限使用機(jī)制，從技術(shù)的角度盡可能地降低數(shù)據(jù)被濫用的可能性。

????此外，任奎還補(bǔ)充道：“我們應(yīng)當(dāng)從法律法規(guī)上細(xì)化對敏感信息的定義和使用規(guī)范。除了對證件號碼、銀行賬戶、通信記錄和內(nèi)容等具體的個人敏感信息進(jìn)行保護(hù)外，還應(yīng)對可能包含這些信息的原始傳感器數(shù)據(jù)進(jìn)行保護(hù)，規(guī)范和限制這類數(shù)據(jù)的采集和使用方式?！?/p>

????那么作為普通消費(fèi)者，我們目前有機(jī)會防止自己的手機(jī)被竊聽嗎？在任奎看來，各大手機(jī)廠商提出進(jìn)一步解決方案之前，消費(fèi)者能夠采取的最有效也最便捷的防御方式，就是通過耳機(jī)來接聽電話或語音信息。手機(jī)中的加速計(jì)與耳機(jī)間存在著物理隔離，使其無法監(jiān)測到耳機(jī)發(fā)出的震動，所以通過耳機(jī)播放的聲音是不會被這種攻擊竊聽的。