新華網 正文
手機語音信息泄露須打技術法律“補丁”
2020-04-10 09:15:35 來源: 工人日報
關注新華網
微博
Qzone
評論

  原標題:浙江大學一研究團隊發現手機加速度傳感器存在信息泄露風險——手機語音信息泄露須打技術法律“補丁”

  “一新攻擊路徑與技術的發現表明,手機在軟硬件方面的安全漏洞還需要得到更多關注。”日前,浙江大學網絡空間安全學院院長任奎及其團隊宣布研究發現“手機加速度計竊聽”問題——一種基于深度學習加速度傳感器信號的新型“側信道”手機竊聽攻擊方法。

  據悉,手機加速度計是智能手機中一種能測量加速度的傳感器。這個團隊研究發現一些手機APP可在用戶不知情、無須係統授權的情況下,利用手機內置加速度傳感器採集手機揚聲器所發出聲音的震動信號,實現對用戶語音的竊聽,“這種攻擊非常難以察覺,對用戶隱私威脅很大,目前這種行為處于法律法規的灰色地帶”。

  隱蔽的竊聽行為

  “加速度傳感器是目前智能手機中最常見的一種嵌入式傳感器,主要用于探測手機本身的移動,常見的應用場景包括移動檢測、步數統計、遊戲控制等。”任奎告訴記者,它之所以能被用來監聽電話,主要是由于手機本身的物理結構,“由于聲音信號是一種由震動産生的可以通過一些介質進行傳播的聲波,因此手機揚聲器發出的聲音會引起手機的震動,而加速度傳感器可以準確感知到這些震動,攻擊者能通過它來捕捉聲音信號引起的手機震動進而推斷出其中所包含的敏感信息。”

  該團隊的實驗結果顯示,竊聽語音的準確率與具體的竊聽任務有關,在一些關鍵字的檢測任務中,這種竊聽攻擊能以平均90%的準確率識別並定位用戶語音中所攜帶的關鍵字。攻擊者在訓練自己的模型時可以自行選擇想要識別哪些關鍵字。在數字識別的任務中,這種竊聽攻擊能以接近80%的準確率對0~9這10個數字的英文發音進行區分。準確率有所降低的原因是數字的發音較為簡單,越復雜的詞匯識別率越高。在實際攻擊中,攻擊者還能結合上下文信息和實際語言中各詞匯的使用頻率進一步提升竊聽語音的準確率。

  據了解,能夠收集語音信息意味著攻擊者可以從用戶的手機中竊取多種隱私數據,比如通過竊聽用戶的電話、語音信息、語音備忘錄等,從中提取出用戶的家庭住址、信用卡信息、身份證號、用戶名密碼等重要信息;通過竊聽手機地圖的語音導航係統,能提取出一些跟位置有關的關鍵字,推斷出用戶目前的位置、目的地;通過竊聽用戶手機播放的音樂和視頻,能推斷出用戶在這些方面的偏好。

  亟須重新審視“加速計數據”

  “針對研究發現,我們建議各大手機廠商提高加速度傳感器的權限級別,盡量避免各類應用在非必要的情況下採集加速計數據。同時,各大廠商還應限制加速計的採樣頻率,或通過係統內置濾波器提前過濾掉加速度傳感器信號中包含最多語音信息的高頻部分。”任奎呼吁,為避免將來出現類似的漏洞,各大手機廠商應重新評估一些傳感器的安全性和敏感性,修改操作係統對手機APP調用各種傳感器數據的使用權限,從係統層面來考慮杜絕未來的側信道攻擊路徑。

  目前,在法律法規方面,根據最新的《信息安全技術個人信息安全規范》和《關于開展APP違法違規收集使用個人信息專項治理的公告》,對個人敏感信息的保護主要是對證件號碼、銀行賬戶、通信記錄等具體的個人敏感信息進行保護,重點治理各類APP運營者違法違規收集個人信息的行為。專家表示,由于加速計數據本身並不屬于個人敏感信息,且攻擊者可以通過計步軟件等必須用到加速計的APP“合理合法”地對加速計數據進行收集。這就意味著,該竊聽方式處于一種灰色地帶,除了在技術方面需要“打補丁”,在法律層面也亟須一定的規制。

  對此,任奎建議,首先應從技術層面加大對移動設備物理層安全的研究投入,了解各類傳感器的實際數據採集能力以及可能造成的隱私問題,對可能存在的各類攻擊做到心中有數並依此重新設計手機操作係統中各類傳感器的權限使用機制,從技術的角度盡可能降低數據被濫用的可能性。在此基礎上,應當從法律法規上細化對敏感信息的定義和使用規范。(記者 徐新星)

圖集
+1
【糾錯】 責任編輯: 薛濤
手機語音信息泄露須打技術法律“補丁”-新華網
010030090900000000000000011101301125836039