传感器滥用 信息安全又现漏洞,传感器竟成“窃听器”
信息安全又现漏洞,传感器竟成“窃听器”
加速度计,又称加速度传感器,目前在智能手机上被广泛地应用,可以通过测量手机在各个方向上的“应力”来得出加速度,像手机中的计步器、“摇一摇”等许多功能都基于这些传感器来实现。以往业界普遍认为其和个人隐私信息无关,因此在功能设置上,手机APP可以“无门槛”调用加速度计读数或是获取相应权限。
但是近日,在国际四大信息安全会议之一的 “网络与分布式系统安全会议”上,一项来自浙江大学、加拿大麦吉尔大学、多伦多大学学者团队的最新研究成果显示:部分智能手机APP可在用户不知情且无需系统授权的情况下,利用手机内置的加速度传感器来采集手机扬声器所发出声音的震动信号,实现对用户语音的窃听。
利用通话时的手机震动实现窃听
“加速度传感器是目前智能手机中最常见的一种嵌入式传感器,它主要用于探测手机本身的移动,常见的应用场景包括移动检测,步数统计和游戏控制等。”浙江大学网络空间安全学院院长、教授任奎告诉科技日报记者,它之所以能被用来监听电话,主要是由于声音信号是一种由震动产生的、可以通过介质传播的声波,手机扬声器发出的声音会引起手机的震动,而加速度传感器可以灵敏地感知这些震动,因此攻击者可以通过它来捕捉手机震动进而破解其中所包含的信息。
通过加速度传感器窃听语音的准确率有多高?“窃听语音的准确率与具体的窃听任务有关。根据我们的实验结果,在关键字检测任务中,这种窃听攻击识别用户语音中所携带的关键字的平均准确率达到了90%。”任奎说,在实际攻击中,攻击者还可以结合上下文信息和实际语言中各个词汇的使用频率,进一步提升语音窃听的准确率。
手机加速度计可以收集语音信息,这意味着攻击者可以从用户的手机中窃取多种隐私数据。“比如,攻击者也许可以从语音信息中提取出用户的家庭住址、信用卡信息、身份证号、用户名密码等一系列重要信息;通过窃听手机地图的语音导航系统,攻击者也许能提取出一些跟位置有关的关键字,推断出用户目前的位置以及目的地;通过窃听用户手机播放的音乐和视频,攻击者可以推断出用户在这些方面的偏好。”任奎总结说,这种攻击方式对用户隐私安全具有很大威胁。
此外,任奎进一步强调,这种攻击对场景并没有特别的要求,无论手机用户将手机放在桌子上还是拿在手中,“甚至边使用手机边走路,攻击者都可以准确地识别出手机扬声器所播放的语音信息。”
“传感器数据”亟待重新审视
据了解,现行的法律法规对个人敏感信息的保护,主要是针对证件号码、金融账户等具体的个人敏感信息。由于加速计数据本身并不属于个人敏感信息,攻击者可以利用计步软件等必须用到加速计的APP“合理”地对加速计数据进行收集,因此采集加速计数据这种行为本身并不违法。这就意味着,这种攻击方式目前仍处于法律法规的灰色地带。“但使用或贩卖分析出的个人敏感信息应该是违法的。”任奎说。
为有效防御此类攻击,任奎建议,首先应该从技术层面加大对移动设备物理层安全的研究投入,了解各类传感器的实际数据采集能力以及它们可能造成的隐私问题,对可能存在的各类攻击做到心中有数。然后依此重新设计智能手机操作系统中各类传感器的权限使用机制,从技术的角度尽可能地降低数据被滥用的可能性。
此外,任奎还补充道:“我们应当从法律法规上细化对敏感信息的定义和使用规范。除了对证件号码、银行账户、通信记录和内容等具体的个人敏感信息进行保护外,还应对可能包含这些信息的原始传感器数据进行保护,规范和限制这类数据的采集和使用方式。”
那么作为普通消费者,我们目前有机会防止自己的手机被窃听吗?在任奎看来,各大手机厂商提出进一步解决方案之前,消费者能够采取的最有效也最便捷的防御方式,就是通过耳机来接听电话或语音信息。手机中的加速计与耳机间存在着物理隔离,使其无法监测到耳机发出的震动,所以通过耳机播放的声音是不会被这种攻击窃听的。
信息安全又现漏洞,传感器竟成“窃听器”
加速度计,又称加速度传感器,目前在智能手机上被广泛地应用,可以通过测量手机在各个方向上的“应力”来得出加速度,像手机中的计步器、“摇一摇”等许多功能都基于这些传感器来实现。以往业界普遍认为其和个人隐私信息无关,因此在功能设置上,手机APP可以“无门槛”调用加速度计读数或是获取相应权限。
但是近日,在国际四大信息安全会议之一的 “网络与分布式系统安全会议”上,一项来自浙江大学、加拿大麦吉尔大学、多伦多大学学者团队的最新研究成果显示:部分智能手机APP可在用户不知情且无需系统授权的情况下,利用手机内置的加速度传感器来采集手机扬声器所发出声音的震动信号,实现对用户语音的窃听。
利用通话时的手机震动实现窃听
“加速度传感器是目前智能手机中最常见的一种嵌入式传感器,它主要用于探测手机本身的移动,常见的应用场景包括移动检测,步数统计和游戏控制等。”浙江大学网络空间安全学院院长、教授任奎告诉科技日报记者,它之所以能被用来监听电话,主要是由于声音信号是一种由震动产生的、可以通过介质传播的声波,手机扬声器发出的声音会引起手机的震动,而加速度传感器可以灵敏地感知这些震动,因此攻击者可以通过它来捕捉手机震动进而破解其中所包含的信息。
通过加速度传感器窃听语音的准确率有多高?“窃听语音的准确率与具体的窃听任务有关。根据我们的实验结果,在关键字检测任务中,这种窃听攻击识别用户语音中所携带的关键字的平均准确率达到了90%。”任奎说,在实际攻击中,攻击者还可以结合上下文信息和实际语言中各个词汇的使用频率,进一步提升语音窃听的准确率。
手机加速度计可以收集语音信息,这意味着攻击者可以从用户的手机中窃取多种隐私数据。“比如,攻击者也许可以从语音信息中提取出用户的家庭住址、信用卡信息、身份证号、用户名密码等一系列重要信息;通过窃听手机地图的语音导航系统,攻击者也许能提取出一些跟位置有关的关键字,推断出用户目前的位置以及目的地;通过窃听用户手机播放的音乐和视频,攻击者可以推断出用户在这些方面的偏好。”任奎总结说,这种攻击方式对用户隐私安全具有很大威胁。
此外,任奎进一步强调,这种攻击对场景并没有特别的要求,无论手机用户将手机放在桌子上还是拿在手中,“甚至边使用手机边走路,攻击者都可以准确地识别出手机扬声器所播放的语音信息。”
“传感器数据”亟待重新审视
据了解,现行的法律法规对个人敏感信息的保护,主要是针对证件号码、金融账户等具体的个人敏感信息。由于加速计数据本身并不属于个人敏感信息,攻击者可以利用计步软件等必须用到加速计的APP“合理”地对加速计数据进行收集,因此采集加速计数据这种行为本身并不违法。这就意味着,这种攻击方式目前仍处于法律法规的灰色地带。“但使用或贩卖分析出的个人敏感信息应该是违法的。”任奎说。
为有效防御此类攻击,任奎建议,首先应该从技术层面加大对移动设备物理层安全的研究投入,了解各类传感器的实际数据采集能力以及它们可能造成的隐私问题,对可能存在的各类攻击做到心中有数。然后依此重新设计智能手机操作系统中各类传感器的权限使用机制,从技术的角度尽可能地降低数据被滥用的可能性。
此外,任奎还补充道:“我们应当从法律法规上细化对敏感信息的定义和使用规范。除了对证件号码、银行账户、通信记录和内容等具体的个人敏感信息进行保护外,还应对可能包含这些信息的原始传感器数据进行保护,规范和限制这类数据的采集和使用方式。”
那么作为普通消费者,我们目前有机会防止自己的手机被窃听吗?在任奎看来,各大手机厂商提出进一步解决方案之前,消费者能够采取的最有效也最便捷的防御方式,就是通过耳机来接听电话或语音信息。手机中的加速计与耳机间存在着物理隔离,使其无法监测到耳机发出的震动,所以通过耳机播放的声音是不会被这种攻击窃听的。
来源:科技日报
相关问答
有创呼吸机提示清洁流量 传感器 如何清洁? - 156****1197 的回...呼吸机报警参数的含义及处理总分钟通气量(TOTALMV)总分钟通气量显示每分钟自主和机控呼吸时所有呼吸总的通气量。自主呼吸分钟通气量(SPONTMV):显示...
哪些坏习惯会损害免疫系统?免疫力是我们身体的保护罩,它可以抵御外界病毒、不良气候等对人体的攻击。就拿这次冠状病毒来说,同是从武汉回来,有的人则感染病毒,有的人则没有被感染,除了...
个人信息数据是如何在无声无息中被操纵?谈谈自己的观点首先,从终端管理方面,我个人觉得苹果的信息管理和隐私权限控制要好于安卓,苹果对于手机内置的各类传感器权限控制归类更加的清晰易用,开关自...
人工智能涉及个人隐私应用事例?近日,马斯克坦承特斯拉汽车内摄像头可以监视驾驶员一事,引发了车主对智能汽车内部安装摄像头与窃听器的不满。虽然这两种设备在智能汽车生产厂商眼中起到的是...
摄影初学者追求“大虚化”好还是不好?为什么?这个我个人认为没有什么好与不好之说,虚化的拍摄方式与小白没有什么关系。主要看他刚开始入了什么镜头。一般说来,初学者大部分可能会买套机头,比如24-105,这...
生物特征识别技术在目前有哪些应用?什么是生物识别?术语“生物识别”是两个词的组合-生物(即生命)和度量(即测量)。这直接转化为“生命测量”。它指的是与人类特征有关的指标,特别是在身体和...首...
特斯拉哨兵模式会泄露国家隐私吗?特斯拉的哨兵模式是一种安全功能,旨在保护车辆和车主的安全。它通过使用车辆上的摄像头和传感器来监控周围环境,以便及时检测潜在的威胁。虽然这种功能可能会...
你怎么看下肢机器人亮相工博会让截肢病人行走?如何避免科技被滥用,损害了文明的演化和延续?这些问题从新科技的诞生之初,就应该深入探讨。对新科技的应用边界要设定清晰。他们的权利需要保障,还是他们的力...
手持安检仪能带上高铁吗?能。手持安检仪一般不属于被禁止携带的物品,因此在高铁上携带手持安检仪是允许的。但是,根据不同的高铁规定,有些高铁车站可能会要求将安检仪放在指...能。...
手机APP开发商及软件商,强制搜集用户隐私,是否霸王条款?我是泰瑞聊科技,很荣幸来回答此问题,希望我的回答能对你所有帮助!观点:我认为得分两种情况:1、不获取权限就无法正常使用APP功能的,我觉得不属于霸王条款...4...