手机成窃听器?App无授权就能监听电话,准确率可达90%
“是否允许该App使用您的麦克风?”“是否允许该App共享您的位置信息?”“是否允许”这一句式,越来越多地出现在用户使用App的时候。只有经过用户允许,App才能收集手机位置等敏感信息。但是“是否允许”真的能将手机的安全漏洞完全堵死吗?
在近日召开的网络与分布式系统安全会议上,浙江大学网络空间安全学院院长任奎团队带来了一个令人心惊的消息。该研究团队在会上发表论文称,他们发现一个新攻击路径,当前智能手机App可在用户不知情、无需系统授权的情况下,利用手机内置加速度传感器采集手机扬声器所发出声音的震动信号,实现对用户语音的窃听。
3月11日,任奎在一场线上论坛接受记者采访时表示,这一攻击路径不仅隐蔽而且“合法”。也就是说,用户很可能在毫无感知的情况下泄露隐私,而攻击者并不违法。
据了解,加速度传感器是目前智能手机中最常见的一种嵌入式传感器,它主要用于探测手机本身的移动,常见的应用场景包括移动检测、步数统计和游戏控制等。
“加速度传感器之所以能被用来监听电话,主要是由于智能手机本身的物理结构。由于声音信号是一种由震动产生的可以通过气态、液态、固态的各类介质进行传播的声波,因此手机扬声器发出的声音会引起手机本身的震动。而加速度传感器可以准确地感知到手机本身的震动,因此攻击者可以通过加速传感器来捕捉声音信号引起的手机震动进而推断出其中所包含的敏感信息。”任奎说。
那么,加速度传感器窃听语音的准确率有多高?是否需要在特定场景下才能进行?对此,任奎表示,窃听语音的准确率与具体的窃听任务有关。“在关键字检测任务中,这种窃听攻击可以以平均90%的准确率识别并定位用户语音中所携带的关键字。”
据任奎介绍,这种窃听方式之所以不违反当前监管部门的规定,是因为加速计数据在各类手机中均被定义为非敏感数据,各类手机应用可以在无需申请权限的情况下自由采集。
中央网信办等部门1月25日发布的关于开展App违法违规收集使用个人信息专项治理的公告显示,重点治理的是App运营者违法违规收集个人信息的行为,要求运营者不得收集与其提供的服务无关的个人信息。
“这种窃听攻击是攻击者在拿到加速计数据之后进行进一步分析的手段。攻击者完全可以先通过记步软件等必须用到加速度传感器的App‘合理合法’地对加速计数据进行收集,进而发起窃听攻击,因此这种攻击目前仍属于法律法规的灰色地带。但使用或贩卖分析出的个人敏感信息是违法的。”任奎说。
“建议各大手机厂商提高加速度传感器的权限级别,避免各类应用在非必要的情况下采集加速计数据。与此同时,各大厂商还应对加速计的采样频率进行限制,或通过系统内置滤波器提前过滤掉加速度传感器信号中包含最多语音信息的高频部分。”为了避免将来出现类似的漏洞,任奎建议各大厂商重新评估各个传感器的安全性和敏感性,修改Android操作系统对手机App调用各种传感器数据的使用权限,杜绝未来的侧信道攻击路径。
-
焦点事件
-
焦点事件
-
焦点事件
-
焦点事件
