智能手機可能泄露語音信息必須打技術(shù)法律"補丁"

 

　　“一新攻擊路徑與技術(shù)的發(fā)現(xiàn)表明，手機在軟硬件方面的安全漏洞還需要得到更多關(guān)注。”日前，浙江大學網(wǎng)絡(luò)空間安全學院院長任奎及其團隊宣布研究發(fā)現(xiàn)“手機加速度計竊聽”問題——一種基于深度學習加速度傳感器信號的新型“側(cè)信道”手機竊聽攻擊方法。

 

　　據(jù)悉，手機加速度計是智能手機中一種能測量加速度的傳感器。這個團隊研究發(fā)現(xiàn)一些手機APP可在用戶不知情、無須系統(tǒng)授權(quán)的情況下，利用手機內(nèi)置加速度傳感器采集手機揚聲器所發(fā)出聲音的震動信號，實現(xiàn)對用戶語音的竊聽，“這種攻擊非常難以察覺，對用戶隱私威脅很大，目前這種行為處于法律法規(guī)的灰色地帶”。

 

　　隱蔽的竊聽行為

 

　　“加速度傳感器是目前智能手機中最常見的一種嵌入式傳感器，主要用于探測手機本身的移動，常見的應用場景包括移動檢測、步數(shù)統(tǒng)計、游戲控制等。”任奎告訴記者，它之所以能被用來監(jiān)聽電話，主要是由于手機本身的物理結(jié)構(gòu)，“由于聲音信號是一種由震動產(chǎn)生的可以通過一些介質(zhì)進行傳播的聲波，因此手機揚聲器發(fā)出的聲音會引起手機的震動，而加速度傳感器可以準確感知到這些震動，攻擊者能通過它來捕捉聲音信號引起的手機震動進而推斷出其中所包含的敏感信息。”

 

　　該團隊的實驗結(jié)果顯示，竊聽語音的準確率與具體的竊聽任務(wù)有關(guān)，在一些關(guān)鍵字的檢測任務(wù)中，這種竊聽攻擊能以平均90%的準確率識別并定位用戶語音中所攜帶的關(guān)鍵字。攻擊者在訓練自己的模型時可以自行選擇想要識別哪些關(guān)鍵字。在數(shù)字識別的任務(wù)中，這種竊聽攻擊能以接近80%的準確率對0～9這10個數(shù)字的英文發(fā)音進行區(qū)分。準確率有所降低的原因是數(shù)字的發(fā)音較為簡單，越復雜的詞匯識別率越高。在實際攻擊中，攻擊者還能結(jié)合上下文信息和實際語言中各詞匯的使用頻率進一步提升竊聽語音的準確率。

 

　　據(jù)了解，能夠收集語音信息意味著攻擊者可以從用戶的手機中竊取多種隱私數(shù)據(jù)，比如通過竊聽用戶的電話、語音信息、語音備忘錄等，從中提取出用戶的家庭住址、信用卡信息、身份證號、用戶名密碼等重要信息;通過竊聽手機地圖的語音導航系統(tǒng)，能提取出一些跟位置有關(guān)的關(guān)鍵字，推斷出用戶目前的位置、目的地;通過竊聽用戶手機播放的音樂和視頻，能推斷出用戶在這些方面的偏好。

 

　　亟須重新審視“加速計數(shù)據(jù)”

 

　　“針對研究發(fā)現(xiàn)，我們建議各大手機廠商提高加速度傳感器的權(quán)限級別，盡量避免各類應用在非必要的情況下采集加速計數(shù)據(jù)。同時，各大廠商還應限制加速計的采樣頻率，或通過系統(tǒng)內(nèi)置濾波器提前過濾掉加速度傳感器信號中包含最多語音信息的高頻部分。”任奎呼吁，為避免將來出現(xiàn)類似的漏洞，各大手機廠商應重新評估一些傳感器的安全性和敏感性，修改操作系統(tǒng)對手機APP調(diào)用各種傳感器數(shù)據(jù)的使用權(quán)限，從系統(tǒng)層面來考慮杜絕未來的側(cè)信道攻擊路徑。

 

　　目前，在法律法規(guī)方面，根據(jù)最新的《信息安全技術(shù)個人信息安全規(guī)范》和《關(guān)于開展APP違法違規(guī)收集使用個人信息專項治理的公告》，對個人敏感信息的保護主要是對證件號碼、銀行賬戶、通信記錄等具體的個人敏感信息進行保護，重點治理各類APP運營者違法違規(guī)收集個人信息的行為。專家表示，由于加速計數(shù)據(jù)本身并不屬于個人敏感信息，且攻擊者可以通過計步軟件等必須用到加速計的APP“合理合法”地對加速計數(shù)據(jù)進行收集。這就意味著，該竊聽方式處于一種灰色地帶，除了在技術(shù)方面需要“打補丁”，在法律層面也亟須一定的規(guī)制。

 

　　對此，任奎建議，首先應從技術(shù)層面加大對移動設(shè)備物理層安全的研究投入，了解各類傳感器的實際數(shù)據(jù)采集能力以及可能造成的隱私問題，對可能存在的各類攻擊做到心中有數(shù)并依此重新設(shè)計手機操作系統(tǒng)中各類傳感器的權(quán)限使用機制，從技術(shù)的角度盡可能降低數(shù)據(jù)被濫用的可能性。在此基礎(chǔ)上，應當從法律法規(guī)上細化對敏感信息的定義和使用規(guī)范。(記者 徐新星)

 

　　來源：工人日報

 

　　版權(quán)歸原作者所有，如有侵權(quán)請聯(lián)系我們

 

　　聲明：轉(zhuǎn)載此文是出于傳遞更多信息之目的。并不意味著贊同其觀點或證實其描述。文章內(nèi)容僅供參考，不構(gòu)成任何建議。若有來源標注錯誤或侵犯了您的合法權(quán)益，請作者持權(quán)屬證明與本網(wǎng)聯(lián)系，我們將及時更正、刪除，謝謝。