江苏龙网

  1. 首页 > 社会 > >

原来,手机是这样“窃听”你的( 二 )

原来,手机是这样“窃听”你的
例如 , 用户A通过打电话的方式把自己的家庭住址等敏感信息告诉用户B 。在通话过程中 , 一个第三方App(例如音乐、阅读、健康等应用)可以通过后台采集加速器数据 , 识别出用户语音中包含的省份、城市 , 甚至街道信息 , 进而确定用户的住址 。根据实验结果 , 在这类针对敏感词的检索攻击中 , 模型可以准确定位超过88%的敏感词汇 。第三种攻击:语音还原威胁:能导致用户电话部分内容等被直接窃听这种技术可以通过学习加速器数据与音频数据之间的映射和关联 , 来将加速器采集到的震动信号还原为原始的音频信号 。也就是说 , 在用户拨打电话或接收语音信息时 , 攻击者可以直接通过加速器数据还原出手机所播放的语音信息 。 进而通过人工来识别敏感信息 。原来,手机是这样“窃听”你的
对于这种攻击 , 由于加速器采样率的限制 , 目前的语音重构模型仅能重构1500Hz以下的音频数据 , 但重构出的音频已经包含了成人语音所有的元音信息 , 可以被人工轻易识别出来 。“ 不难看出 , 通过上述三种攻击 , 攻击者可以获得包括全套个人信息、金融密码和重点语音敏感信息在内的大量隐私数据 。如果被犯罪分子获得 , 完全可以拼凑出全套近乎完整的个人隐私信息体系 , 从而对每个人的财产构成非常直接和巨大的威胁 。 ”每一部智能手机都有可能被“窃听”“在特定的技术加持下 , 实现窃听的条件很简单 。 ”秦湛向采访人员表示 , 被攻击者需要使用具有内置加速度传感器的智能手机 , 并安装恶意App , 攻击者便能在被攻击者毫无感知的情况下 , 利用恶意App读取窃听者手机的传感器数据 。这一行为甚至不需要实时接收数据信息 , 直接将其缓存到App后台即可 。在测试中 , 团队在实验过程中使用了华为、三星手机进行测试 。 即便在嘈杂的环境中 , 上述实验的识别率甚至高达80% 。目前国内外的所有手机厂商 , 无论是华为、荣耀、苹果、OPPO、vivo、小米、三星、红米、魅族等品牌的智能手机 , 都有加速度传感器 , 且同平台的手机配置越好 , 传感器频率越高 , 潜在的风险也越大 。秦湛认为 , 拥有有价值信息的手机用户是可能性更大的窃听对象 , 具体的场景可以是:手机用户在使用手机扬声器公放与人通话 , 或者播放通信软件 , 如微信、钉钉的语音信息等 。至关重要的是 , 从系统授权角度来讲 , 获取加速度器数据再进行处理是“合法”的 。“由于加速度器数据被认为不具有敏感性 , App读取加速度器数据不需要申请系统权限或通知用户 。 所以获取加速度器读数再处理 , 从系统授权的角度来讲是合法的 。 ”秦湛说道 。无需系统授权 , 只要满足窃听条件 , 攻击者就可以实现对用户隐私的“窥探” 。2现阶段攻击难防得知自己隐私被窃听 , 不少用户往往会感到一阵寒意 。针对以上窃听攻击 , 任奎团队提出三种防御攻击的方案 。由于普通人类语音的最低基频为85Hz , 第一种有效方案是限制传感器的采样频率 。根据奈奎斯特采样定理 , 当传感器采用频率低于170Hz时 , 将不能再现85Hz以上的频率分量 , 识别准确率会下降 。实验研究表明 , 当传感器采样率为50Hz时 , 识别率下降到30% 。第二种通用的有效防御方案是当App以高频率在后台收集传感器数据时 , 需要首先经过用户允许 , 或显式通知用户 。例如:当App在后台收集语音信号时 , iOS系统会在状态栏显示一个闪烁的“麦克风”图标 , 类似的机制也应该部署在Android系统 , 便于提醒用户手机的传感器数据是何时、何地以及如何被使用的 。这种解决方案将会严重影响到所有需调用加速度器的App运行 , 导致大规模的系统更新与App软件升级 。第三种方案是通过修改硬件设计 , 使用物理隔离的方法 , 让各类传感器难以采集到扬声器声音的震动信号 , 从而彻底防御这一类的侧信道攻击 。秦湛坦言 , 上述这几种解决方案实施起来的经济与社会成本都较高 , 短期内难以完全杜绝这类窃听攻击的发生 。“理论上来讲 , 假设有人在手机上装了恶意App且该用户也正在用手机通话 , 恶意App便能感知到手机震动 , 进而识别并部分还原成语音 , 这种可能性是存在的 。 ”上海交通大学网络信息中心副主任姜开达认为 , 智能手机用户需要对个人隐私加以防护 , 但也无需过度紧张 。“有可能性 , 并不代表这种恶意App已经出现且广泛传播 。 安全起见 , 建议用户在下载App时 , 可以通过主流应用市场下载 。 知名应用市场的App大都是通过了正规渠道的审核和安全检测 , 一定程度上可以降低个人隐私信息泄露的风险 。 ”姜开达说道 。3“浏览器指纹”乱点鸳鸯谱特点:技术实现难度低 , 主要窃取和共享在同一局域网内的家人、同事的使用习惯并进行配对和共享推荐 , 造成的危害相对较小 。“ 我和同事聊过的话题 , 怎么会忽然出现在我的手机上? 我和老公私房话聊起过商品 , 怎么会在App中弹出?采访人员采访网络安全专家后发现 , 出卖你的可能不全是手机麦克风 , 还有你的局域网 。 ”悄悄记录的“浏览器指纹”用户恩卉(化名)向采访人员表示 , 自己在与同事面对面聊天的过程中提到了电单车的电池 , 但她此前从未搜索过与电池有关的任何东西 。就在其打开闲鱼App后 , 与电池相关的链接便出现在她的手机界面中 。 与此同时 , 她的同事正在搜索与电单车电池相关的商品 , 而且恩卉的闲鱼App并没有打开麦克风权限 。网络尖刀团队创始人曲子龙表示 , 上述案例从技术角度来讲 , 其实现途径源于“依存性画像” 。科技公司通过大数据给每个人都构建有用户画像 , 继而按照人们的习惯和喜好推送广告 。


推荐阅读


上一篇:谁偷走了我们的免疫力

下一篇:84消毒液火了!为什么叫“84”?