手機加速度計,是智能手機中一種能夠測量加速度的傳感器。從前,業界認為其和個人信息無關,因此手機App可以“無門檻”調用手機加速度計讀數或是獲取相應權限。
手機加速度計
日前,浙江大學網絡空間安全學院院長任奎帶領團隊研究了發現“加速度計竊聽”。這是一種基於深度學習加速度傳感器信號的新型“側信道”智能手機竊聽攻擊方法。智能手機App可在用戶不知情、無需系統授權的情況下,利用手機內置加速度傳感器採集手機揚聲器所發出聲音的震動信號,實現對用戶語音的竊聽。這一攻擊不僅隱蔽,而且並不違法。
合法竊聽 過於嚇人
可識別關鍵字 竊聽準確率高達90%
任奎團隊發現的這一新攻擊路徑與技術的發現提示我們,手機在軟硬件兩方面的安全漏洞還需要得到更多關注。
據悉,“加速度計竊聽”可以收集語音信息意味著攻擊者可以從用戶的手機中竊取多種隱私數據。比如:通過竊聽用戶的電話,語音信息,語音備忘錄等,攻擊者可能可以從語音信息中提取出用戶的家庭住址,信用卡信息,身份證號,用戶名密碼等一系列重要信息;通過竊聽手機地圖的語音導航系統,攻擊者可能可以提取出一些跟位置有關的關鍵字,推斷出用戶目前的位置以及目的地;通過竊聽用戶手機播放的音樂和視頻,攻擊者可以推斷出用戶在這些方面的偏好。總的來說,這是一種用途非常廣泛的攻擊方式,對用戶隱私威脅很大。
根據浙江大學團隊的實驗結果,在關鍵字檢測任務中,這種竊聽攻擊可以以平均90%的準確率識別並定位用戶語音中所攜帶的關鍵字。攻擊者在訓練自己的模型時可以自行選擇想要識別哪些關鍵字。
面對超隱蔽漏洞 如何保障隱私安全
針對手機廠商,任奎建議各大手機廠商提高加速度傳感器的權限級別,儘量避免各類應用在非必要的情況下采集加速計數據。與此同時,各大廠商還應對加速計的採樣頻率進行限制,或通過系統內置濾波器提前過濾掉加速度傳感器信號中包含最多語音信息的高頻部分。另外,為了避免將來出現類似的漏洞,我們建議各大廠商重新評估各個傳感器的安全性和敏感性,修改Android操作系統對手機App調用各種傳感器數據的使用權限,像鴻蒙OS等自主可控的操作系統更是可以從系統層面考慮,杜絕未來的側信道攻擊路徑。
使用耳機可以避免 “加速度計竊聽”
針對普通消費者,在各大手機廠商提出進一步解決方案之前,任奎認為最有效也最便捷的防禦方式就是通過耳機來接聽電話或語音信息。因為手機中的加速計與耳機間的物理隔離,使其無法接觸到耳機發出的震動,所以通過耳機播放的聲音是不會被這種攻擊竊聽的。
利用漏洞的人是不會主動公佈漏洞的
“這種攻擊非常難以察覺,之前我們還沒有發現有新聞報道相關的案例。但實際上有沒有就非常難說了,也可能之前已經有黑客發現並利用了這種漏洞,但是出於利益的考慮,並沒有把它公佈出來。所以我們需要儘快堵住這種漏洞,給用戶提供一個有效的安全解決方案。“任奎告訴記者。
閱讀更多 思奇談 的文章
