在近日的“网络与分布式系统安全会议”上,一项来自浙江大学、加拿大麦吉尔大学、多伦多大学学者团队的最新研究成果引起了社会的关注:部分智能手机APP可在用户不知情且无需系统授权的情况下,利用手机内置的加速度传感器来采集手机扬声器所发出声音的震动信号,实现对用户语音的窃听。手机APP里的传感器有哪些?它如何对用户个人信息安全产生威胁以及如何防范?今天让小编带你来一探究竟。
手机APP里的“加速度传感器”
加速度传感器,又称“加速度计”,目前在智能手机上被广泛应用。可以通过测手机在各个方向上的“应力”来得出加速度,像手机中的计步器、“摇一摇”等许多功能都基于这些传感器来实现。
利用手机震动实现窃听
“加速度传感器是目前智能手机中最常见的一种嵌入式传感器,它主要用于探测手机本身的移动,常见的应用场景包括移动检测,步数统计和游戏控制等。”浙江大学网络空间安全学院院长、教授任奎解释道。
加速度传感器之所以能被用来监听电话,主要是由于声音信号是一种由震动产生的、可以通过介质传播的声波,手机扬声器发出的声音会引起手机的震动,而加速度传感器可以灵敏地感知这些震动,因此攻击者可以通过它来捕捉手机震动进而破解其中所包含的信息。
高达90%的语音窃听准确率
“窃听语音的准确率与具体的窃听任务有关。根据我们的实验结果,在关键字检测任务中,这种窃听攻击识别用户语音中所携带的关键字的平均准确率达到了90%。”任奎说,在实际攻击中,攻击者还可以结合上下文信息和实际语言中各个词汇的使用频率,进一步提升语音窃听的准确率。
任奎解释:“攻击者也许可以从语音信息中提取出用户的家庭住址、信用卡信息、身份证号、用户名密码等一系列重要信息;通过窃听手机地图的语音导航系统,攻击者也许能提取出一些跟位置有关的关键字,推断出用户目前的位置以及目的地;通过窃听用户手机播放的音乐和视频,攻击者可以推断出用户在这些方面的偏好。”
“传感器数据”安全问题亟待重视
为有效防御此类攻击,专家建议,从以下3个方面重点加强。
首先应该从技术层面加大对移动设备物理层安全的研究投入,了解各类传感器的实际数据采集能力以及它们可能造成的隐私问题,对可能存在的各类攻击做到心中有数。
其次重新设计智能手机操作系统中各类传感器的权限使用机制,从技术的角度尽可能地降低数据被滥用的可能性。
再次应当从法律法规上细化对敏感信息的定义和使用规范。除了对证件号码、银行账户、通信记录和内容等具体的个人敏感信息进行保护外,还应对可能包含这些信息的原始传感器数据进行保护,规范和限制这类数据的采集和使用方式。
文章来源:科技日报《信息安全又现漏洞,传感器竟成“窃听器”》