近日���,浙江大學(xué)網(wǎng)絡(luò)空間安全學(xué)院院長(zhǎng)任奎團(tuán)隊(duì)�����、加拿大麥吉爾大學(xué)����、多倫多大學(xué)研究團(tuán)隊(duì)共同發(fā)表了一項(xiàng)聚焦智能手機(jī)竊聽(tīng)攻擊的研究成果:智能手機(jī)APP可在用戶(hù)毫不知情時(shí)���,利用手機(jī)內(nèi)置的加速度傳感器實(shí)現(xiàn)對(duì)用戶(hù)語(yǔ)音的竊聽(tīng)�,且準(zhǔn)確率達(dá)到90%����。
“加速度傳感器”又稱(chēng)“加速度計(jì)”,是目前智能手機(jī)中最常見(jiàn)的一種嵌入式傳感器�,它主要用于探測(cè)手機(jī)本身的移動(dòng),比如平時(shí)常見(jiàn)的步數(shù)統(tǒng)計(jì)和游戲控制等應(yīng)用場(chǎng)景���。與麥克風(fēng)���、攝像頭這些公眾相對(duì)熟知����、可能獲取個(gè)人敏感信息的硬件不同��,由于加速度計(jì)看起來(lái)與語(yǔ)音通話����、短信等敏感信息沒(méi)有什么實(shí)際關(guān)聯(lián),因此在采集智能手機(jī)的加速度信息時(shí)�����,無(wú)需獲得用戶(hù)授權(quán)�。但恰恰就是這個(gè)不起眼的裝置,可能會(huì)讓人們陷入隱私泄露危機(jī)����。
任奎表示,加速度計(jì)之所以能被用來(lái)監(jiān)聽(tīng)電話�����,主要?dú)w因于智能手機(jī)本身的物理結(jié)構(gòu)���。眾所周知����,聲音信號(hào)是一種由震動(dòng)產(chǎn)生的可以通過(guò)各類(lèi)介質(zhì)傳播的聲波�。因此,手機(jī)揚(yáng)聲器發(fā)出的聲音會(huì)引起手機(jī)自身震動(dòng)����。而加速度計(jì)能準(zhǔn)確感知手機(jī)震動(dòng)——攻擊者便可通過(guò)它來(lái)捕捉聲音信號(hào)引起的手機(jī)震動(dòng),推斷其中包含的敏感信息��。
“總的來(lái)說(shuō)�����,這是一種用途非常廣泛的攻擊方式���,對(duì)用戶(hù)隱私威脅很大���。”任奎說(shuō)。
竊聽(tīng)語(yǔ)音的準(zhǔn)確率與具體的竊聽(tīng)任務(wù)有關(guān)����。根據(jù)實(shí)驗(yàn)結(jié)果,在關(guān)鍵字檢測(cè)任務(wù)中��,這種竊聽(tīng)攻擊可以90%的平均準(zhǔn)確率識(shí)別并定位用戶(hù)語(yǔ)音中所攜帶的關(guān)鍵字����。攻擊者在訓(xùn)練自身模型時(shí),可自行選擇想要識(shí)別哪些關(guān)鍵字��。在數(shù)字識(shí)別任務(wù)中�����,這種竊聽(tīng)攻擊可以接近80%的準(zhǔn)確率區(qū)分出0至9這10個(gè)數(shù)字的英文發(fā)音���。
“準(zhǔn)確率有所降低的原因�,是數(shù)字的發(fā)音較為簡(jiǎn)單����,而越復(fù)雜的詞匯識(shí)別率越高��!比慰忉屨f(shuō),這種攻擊對(duì)場(chǎng)景沒(méi)有特殊要求�,甚至在受害人邊使用手機(jī)邊走路時(shí),攻擊者都能準(zhǔn)確識(shí)別出手機(jī)揚(yáng)聲器所播放的語(yǔ)音信息����。當(dāng)然�,與人的聽(tīng)覺(jué)系統(tǒng)一樣,這種攻擊的準(zhǔn)確率也會(huì)受到音頻清晰程度的影響���。
那么�����,不同手機(jī)系統(tǒng)的竊聽(tīng)效果是否不同����?任奎表示����,在不同手機(jī)系統(tǒng)中,運(yùn)用加速度計(jì)竊聽(tīng)的情況可能不同����。一方面��,不同手機(jī)系統(tǒng)對(duì)加速度計(jì)的使用限制不同�����。比如�����,IOS要求所有訪問(wèn)加速度計(jì)的應(yīng)用提供一句話來(lái)解釋為什么要采集加速度計(jì)的數(shù)據(jù)��,在此要求下���,明顯用不到加速度計(jì)的應(yīng)用可能無(wú)法實(shí)施這種竊聽(tīng)攻擊。另一方面�,各手機(jī)系統(tǒng)對(duì)于后臺(tái)采集加速度計(jì)數(shù)據(jù)的機(jī)制也有差別,這會(huì)影響竊聽(tīng)攻擊的實(shí)際應(yīng)用場(chǎng)景��。
此外�����,手機(jī)本身的結(jié)構(gòu)和性能也會(huì)對(duì)竊聽(tīng)的實(shí)際效果產(chǎn)生一定影響�。在不同手機(jī)型號(hào)中,加速度計(jì)的采樣率和所采集到的聲音信號(hào)強(qiáng)度均可能存在一定差異�����,這都可能影響最終語(yǔ)音識(shí)別效果。
如何才能防止這種監(jiān)聽(tīng)方式呢�?任奎表示,作為普通消費(fèi)者�����,在各大手機(jī)廠商提出進(jìn)一步解決方案之前����,最有效最便捷的防御方式就是通過(guò)耳機(jī)來(lái)接聽(tīng)電話或語(yǔ)音信息����。因?yàn)槭謾C(jī)中的加速度計(jì)與耳機(jī)間的物理隔離,導(dǎo)致其無(wú)法接觸到耳機(jī)發(fā)出的震動(dòng)���,因此通過(guò)耳機(jī)播放的聲音不會(huì)被這種攻擊竊聽(tīng)��。各大手機(jī)廠商應(yīng)提高加速度計(jì)的權(quán)限級(jí)別��,盡量避免各類(lèi)應(yīng)用在非必要情況下采集加速度計(jì)數(shù)據(jù)�;還應(yīng)對(duì)加速度計(jì)的采樣頻率實(shí)施限制�����,或提前過(guò)濾掉加速度計(jì)信號(hào)中包含最多語(yǔ)音信息的高頻部分。
“為避免將來(lái)出現(xiàn)類(lèi)似漏洞���,我們建議各大廠商重新評(píng)估各個(gè)傳感器的安全性和敏感性����,修改安卓操作系統(tǒng)對(duì)手機(jī)APP調(diào)用各種傳感器數(shù)據(jù)的使用權(quán)限�,像鴻蒙OS等自主可控的操作系統(tǒng)更是可以從系統(tǒng)層面考慮,杜絕未來(lái)的側(cè)信道攻擊路徑���������!比慰f(shuō)。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
