本篇文章1638字,读完约4分钟
浙江大学的一个研究小组发现,手机加速度传感器存在信息泄露的风险 手机语音信息的披露必须与技术法规接轨 浙江大学网络学院院长任奎(音)和他的团队发现,一些手机应用程序可以使用手机内置的加速度传感器来采集手机扬声器发出的声音的振动信号,而无需用户知情和授权。 “新的攻击路径和技术的发现表明,手机在软件和硬件方面的安全漏洞仍然需要更多的关注。”日前,浙江大学网络学院院长任奎及其团队宣布,他们发现了“手机加速度计窃听”问题,这是一种基于深度学习加速度计信号的新型“旁道”手机窃听攻击方法。
据报道,手机加速度计是一种可以测量智能手机加速度的传感器。研究小组发现,一些手机应用程序可以利用手机内置的加速度传感器来采集手机扬声器发出的声音的振动信号,而无需用户的知识和系统授权来窃听用户的声音。“这种攻击很难检测到,并对用户的隐私构成极大威胁。目前,这种行为还处于法律法规的灰色地带。”
隐藏窃听
“加速度传感器是智能手机中最常见的嵌入式传感器,主要用于检测手机本身的运动。常见的应用场景包括移动检测、步数、游戏控制等任奎告诉记者,之所以可以用它来监控手机,主要是因为手机本身的物理结构。“因为声音信号是一种由振动产生的声波,可以通过某些媒体传播,所以手机扬声器发出的声音会引起手机振动,加速度传感器可以准确地感应到这些振动。攻击者可以通过手机捕捉到声音信号引起的振动,并推断出其中包含的敏感信息。”
该小组的实验结果表明,声音窃听的准确性与特定的窃听任务有关。在一些关键词检测任务中,这种窃听攻击可以识别和定位用户语音中携带的关键词,平均准确率为90%。攻击者可以在训练自己的模型时选择他们想要识别的关键词。在数字识别任务中,这种窃听攻击可以识别10个数字0 ~ 9的英语发音,准确率接近80%。准确度下降的原因是数字的发音更简单,单词识别率也更复杂。在实际攻击中,攻击者还可以将上下文信息与实际语言中使用的单词频率相结合,以进一步提高语音窃听的准确性。
据了解,能够收集语音信息意味着攻击者可以从用户的移动电话窃取各种隐私数据,例如,通过窃听用户的电话、语音信息、语音备忘录等。,从中可以提取用户的家庭地址、信用卡信息、身份证号码、用户名和密码等重要信息;通过轻敲手机地图的语音导航系统,可以提取与位置相关的一些关键词,并且可以推断用户的当前位置和目的地。通过窃听用户手机播放的音乐和视频,可以推断出用户在这些方面的偏好。
迫切需要重新检查“加速计数据”
“根据研究结果,我们建议主要手机制造商提高加速度传感器的许可级别,并尽量避免各种应用在不必要的条件下收集加速度计数据。与此同时,主要制造商还应限制加速度计的采样频率,或者通过系统内置滤波器预先过滤掉加速度计信号中包含最多语音信息的高频部分。”任奎呼吁主要手机制造商重新评估一些传感器的安全性和敏感性,修改操作系统在手机APP上调用各种传感器数据的权限,并考虑从系统层面防止未来的侧信道攻击路径,以避免未来出现类似的漏洞。
目前,在法律法规方面,根据最新的《信息安全技术个人信息安全规范》和《关于APP非法收集和使用个人信息专项管理的公告》,个人敏感信息的保护主要是保护特定的个人敏感信息,如身份证号码、银行账户、通信记录等。,重点是管理各种应用程序运营商非法收集的个人信息。专家表示,因为加速度计数据本身不是个人敏感信息,攻击者可以通过必须使用加速度计(如计步器软件)的应用程序“合理合法地”收集加速度计数据。这意味着窃听方法处于灰色地带,需要在技术方面进行“修补”,并且必须在法律层面进行监管。
对此,任奎建议,首先要从技术层面加大对移动设备物理层安全的研究投入,了解各种传感器的实际数据采集能力和可能引发的隐私问题,了解可能存在的各种攻击,并相应地重新设计手机操作系统中各种传感器的权限使用机制,从技术角度尽可能降低数据被滥用的可能性。在此基础上,敏感信息的定义和使用规范应根据法律法规进行细化。(记者徐新兴)
责任:张洋
