工人日?qǐng)?bào)客戶端3月12日電“這一攻擊不僅隱蔽，而且并不違法。這一新攻擊路徑與技術(shù)的發(fā)現(xiàn)表明，手機(jī)在軟硬件方面的安全漏洞還需要得到更多關(guān)注�！�3月11日，浙江大學(xué)網(wǎng)絡(luò)空間安全學(xué)院院長(zhǎng)任奎及其團(tuán)隊(duì)宣布研究發(fā)現(xiàn)“手機(jī)加速度計(jì)竊聽(tīng)”問(wèn)題——一種基于深度學(xué)習(xí)加速度傳感器信號(hào)的新型“側(cè)信道”手機(jī)竊聽(tīng)攻擊方法。

據(jù)悉，手機(jī)加速度計(jì)是智能手機(jī)中一種能夠測(cè)量加速度的傳感器。這個(gè)團(tuán)隊(duì)研究發(fā)現(xiàn)一些智能手機(jī)App可在用戶不知情、無(wú)需系統(tǒng)授權(quán)的情況下，利用手機(jī)內(nèi)置加速度傳感器采集手機(jī)揚(yáng)聲器所發(fā)出聲音的震動(dòng)信號(hào)，實(shí)現(xiàn)對(duì)用戶語(yǔ)音的竊聽(tīng)，“這種攻擊非常難以察覺(jué)，對(duì)用戶隱私威脅很大，目前這種行為處于法律法規(guī)的灰色地帶�！�

隱蔽的竊聽(tīng)行為

“加速度傳感器是目前智能手機(jī)中最常見(jiàn)的一種嵌入式傳感器，主要用于探測(cè)手機(jī)本身的移動(dòng)，常見(jiàn)的應(yīng)用場(chǎng)景包括移動(dòng)檢測(cè)、步數(shù)統(tǒng)計(jì)、游戲控制等�！比慰�告訴記者，它之所以能被用來(lái)監(jiān)聽(tīng)電話，主要是由于智能手機(jī)本身的物理結(jié)構(gòu)，“由于聲音信號(hào)是一種由震動(dòng)產(chǎn)生的可以通過(guò)一些介質(zhì)進(jìn)行傳播的聲波，因此手機(jī)揚(yáng)聲器發(fā)出的聲音會(huì)引起手機(jī)的震動(dòng)，而加速度傳感器可以準(zhǔn)確感知到這些震動(dòng)，因此攻擊者可以通過(guò)它來(lái)捕捉聲音信號(hào)引起的手機(jī)震動(dòng)進(jìn)而推斷出其中所包含的敏感信息�！�

這個(gè)團(tuán)隊(duì)的實(shí)驗(yàn)結(jié)果顯示，竊聽(tīng)語(yǔ)音的準(zhǔn)確率與具體的竊聽(tīng)任務(wù)有關(guān)，在一些關(guān)鍵字的檢測(cè)任務(wù)中，這種竊聽(tīng)攻擊可以以平均90%的準(zhǔn)確率識(shí)別并定位用戶語(yǔ)音中所攜帶的關(guān)鍵字。攻擊者在訓(xùn)練自己的模型時(shí)可以自行選擇想要識(shí)別哪些關(guān)鍵字。在數(shù)字識(shí)別的任務(wù)中，這種竊聽(tīng)攻擊可以以接近80%的準(zhǔn)確率對(duì)0～9這10個(gè)數(shù)字的英文發(fā)音進(jìn)行區(qū)分。準(zhǔn)確率有所降低的原因是數(shù)字的發(fā)音較為簡(jiǎn)單，越復(fù)雜的詞匯識(shí)別率越高。在實(shí)際攻擊中，攻擊者還能結(jié)合上下文信息和實(shí)際語(yǔ)言中各詞匯的使用頻率進(jìn)一步提升竊聽(tīng)語(yǔ)音的準(zhǔn)確率。

據(jù)了解，可以收集語(yǔ)音信息意味著攻擊者可以從用戶的手機(jī)中竊取多種隱私數(shù)據(jù)，比如通過(guò)竊聽(tīng)用戶的電話、語(yǔ)音信息、語(yǔ)音備忘錄等，可從中提取出用戶的家庭住址、信用卡信息、身份證號(hào)、用戶名密碼等重要信息；通過(guò)竊聽(tīng)手機(jī)地圖的語(yǔ)音導(dǎo)航系統(tǒng)，能提取出一些跟位置有關(guān)的關(guān)鍵字，推斷出用戶目前的位置、目的地；通過(guò)竊聽(tīng)用戶手機(jī)播放的音樂(lè)和視頻，能推斷出用戶在這些方面的偏好�？傊�，這是一種用途非常廣泛的攻擊方式，對(duì)用戶隱私威脅很大。

亟需重新審視“加速計(jì)數(shù)據(jù)”

“針對(duì)這次的研究發(fā)現(xiàn)，我們建議各大手機(jī)廠商提高加速度傳感器的權(quán)限級(jí)別，盡量避免各類應(yīng)用在非必要的情況下采集加速計(jì)數(shù)據(jù)。同時(shí)，各大廠商還應(yīng)限制加速計(jì)的采樣頻率，或通過(guò)系統(tǒng)內(nèi)置濾波器提前過(guò)濾掉加速度傳感器信號(hào)中包含最多語(yǔ)音信息的高頻部分�！比慰�呼吁，為避免將來(lái)出現(xiàn)類似的漏洞，各大手機(jī)廠商應(yīng)重新評(píng)估一些傳感器的安全性和敏感性，修改操作系統(tǒng)對(duì)手機(jī)App調(diào)用各種傳感器數(shù)據(jù)的使用權(quán)限，從系統(tǒng)層面來(lái)考慮杜絕未來(lái)的側(cè)信道攻擊路徑。

據(jù)了解，目前，在法律法規(guī)方面，根據(jù)最新的《信息安全技術(shù)個(gè)人信息安全規(guī)范》和《關(guān)于開(kāi)展App違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理的公告》，對(duì)個(gè)人敏感信息的保護(hù)主要是對(duì)證件號(hào)碼、銀行賬戶、通信記錄等具體的個(gè)人敏感信息進(jìn)行保護(hù)，重點(diǎn)治理各類APP運(yùn)營(yíng)者違法違規(guī)收集個(gè)人信息的行為。由于加速計(jì)數(shù)據(jù)本身并不屬于個(gè)人敏感信息，且攻擊者可以通過(guò)記步軟件等必須用到加速計(jì)的APP“合理合法”地對(duì)加速計(jì)數(shù)據(jù)進(jìn)行收集，因此采集加速計(jì)數(shù)據(jù)本身并不違法。這就意味著，這種竊聽(tīng)方式游離在法律法規(guī)之外，處于一種灰色地帶，除了在技術(shù)方面需要“打補(bǔ)丁”，在法律層面也亟需一定的規(guī)制。

對(duì)此，任奎建議，要從法律上對(duì)這類攻擊進(jìn)行規(guī)制，首先應(yīng)從技術(shù)層面加大對(duì)移動(dòng)設(shè)備物理層安全的研究投入，了解各類傳感器的實(shí)際數(shù)據(jù)采集能力以及可能造成的隱私問(wèn)題，對(duì)可能存在的各類攻擊做到心中有數(shù)并依此重新設(shè)計(jì)手機(jī)操作系統(tǒng)中各類傳感器的權(quán)限使用機(jī)制，從技術(shù)的角度盡可能的降低數(shù)據(jù)被濫用的可能性。在此基礎(chǔ)上，應(yīng)當(dāng)從法律法規(guī)上細(xì)化對(duì)敏感信息的定義和使用規(guī)范，除了對(duì)證件號(hào)碼、通信記錄等具體的個(gè)人敏感信息進(jìn)行保護(hù)外，還應(yīng)對(duì)可能包含這些信息的原始傳感器數(shù)據(jù)進(jìn)行保護(hù)，規(guī)范和限制這類數(shù)據(jù)的采集和使用方式，進(jìn)一步細(xì)化個(gè)人敏感信息的涵蓋范圍和使用機(jī)制。（工人日?qǐng)?bào)記者 徐新星）

注：本文系網(wǎng)絡(luò)轉(zhuǎn)載，版權(quán)歸原作者所有。本文所用視頻、圖片、文字如涉及作品版權(quán)問(wèn)題，請(qǐng)第一時(shí)間告知賽斯維傳感器網(wǎng)，我們將立即刪除內(nèi)容！本文內(nèi)容為原作者觀點(diǎn)，并不代表本站贊同其觀點(diǎn)和對(duì)其真實(shí)性負(fù)責(zé)。

賽斯維傳感器網(wǎng)（m.tcmtest.cn）