如何堵住手机窃听?准确率可达九成的安全漏洞

2020-09-14 11:15   来源: 互联网

最近,浙江大学网络空间安全学院院长任奎以及麦吉尔大学和加拿大多伦多大学的一个团队联合发布了一项关于智能手机窃听攻击的研究:使用内置在手机中的加速传感器,智能手机应用程序可以在用户不知道的情况下窃听用户的声音,准确率为 90%。


加速度传感器又称加速度计,是智能手机中最常见的嵌入式传感器,它主要用于检测手机本身的移动,比如通常的步长统计、游戏控制和其他应用场景。与麦克风和摄像头等公众已知的硬件不同,加速度传感器可能会获取个人敏感信息,因为加速器似乎与语音和短信等敏感信息没有实际联系,所以当为智能手机收集加速信息时,不需要用户授权。但正是这种卑微的设备可能会让人们陷入隐私泄露的危机。


任表示,加速度计可以用来监听电话,这主要是因为智能手机本身的物理结构。我们都知道,声音信号是由振动产生的声波,可以通过各种媒体传播。因此,来自手机扬声器的声音可以引起手机本身的振动。此外,加速度计可以准确地感知手机的振动 -- 攻击者可以通过它捕捉声音信号引起的手机振动,并推断其中包含的敏感信息。


总的来说,这是一种非常广泛使用的攻击方法,对用户的隐私构成严重威胁。


语音监控的准确性与特定的监控任务有关,根据实验结果,该方法可以识别和定位用户语音在关键词检测任务中携带的关键字,平均准确率为 90%。在训练自己的攻击模型时,攻击者可以选择关键字进行识别。对于数字识别任务,这种窃听攻击的准确率可高达 80%,可以将 10 个数字的英语发音从 0 区分到 9。


错误率下降的原因是数字的发音简单,复词的正确识别率较高。任奎解释说,攻击对现场没有特殊要求,即使在殴打受害者时,攻击者也能准确识别电话喇叭所播放的语音信息,就像人类听觉系统一样,声音的清晰度也会影响攻击的准确性。


不同手机系统的窃听效果不同吗?任奎说,在不同的手机系统中,加速度计可能有不同的窃听效果。首先,加速度计对不同的手机系统有不同的限制。例如,iOS 要求所有使用加速度计的应用程序提供一个句子来解释为什么要收集加速度计数据,显然不使用加速度计的应用程序可能无法进行这种窃听攻击。此外,在每个移动电话系统的背景下收集加速度计数据的机制也不同,这将影响窃听攻击的实际应用场景。

image.png

此外,手机本身的结构和性能也会影响窃听的实际效果。对于不同类型的手机,加速度计的采样率可能与采集到的声音信号的强度不同,从而影响最终的语音识别效果。


我们如何才能防止这种窃听行为?任奎说,作为普通消费者,在各大手机厂商提出进一步解决方案之前,最有效、最方便的防御措施是通过耳机收听电话或语音信息。由于加速度计与手机耳机之间的物理隔离,不能接触到耳机引起的振动,因此通过耳机播放的声音不会受到这种方式的攻击。各大移动电话制造商应改进加速度计的使用,避免各种应用,而无需收集加速度计;它还可以限制加速度计的采样频率,或过滤出预先包含最多语音信息的高频部分。


为了避免未来出现类似的漏洞,我们建议各大制造商重新评估每个传感器的安全性和敏感性,修改 Android 操作系统,授权手机应用程序调用各种传感器数据,例如宏梦 OS,可以从系统层面考虑自主和可控的操作系统,并制止未来的侧信道攻击。




责任编辑:萤莹香草钟
分享到:
0
【慎重声明】凡本站未注明来源为"每日财经网"的所有作品,均转载、编译或摘编自其它媒体,转载、编译或摘编的目的在于传递更多信息,并不代表本站赞同其观点和对其真实性负责。如因作品内容、版权和其他问题需要同本网联系的,请在30日内进行!