主页(http://www.175shouji.com):浙大团队最新发现:智能手机中App无授权就能监听电话,准确率可
跟着小编一起去看吧~
尽管如此,诸多关于智能手机安全研究依旧充分说明了智能手机在保护个人信息安全层面的脆弱性;即使是看似与个人隐私无关的传感器层面,也潜藏着许多容易被人忽略的的安全漏洞。
比如用户下载了一款伪装成棋牌游戏的间谍App,只要接通电话,攻击者无需任何授权就能拿到对方的语音数据,并传送到自己的后台。接下来,攻击者只需要把数据加入机器学习模型,就可以识别或还原语音。整个过程不冒任何违法风险。
急需重新定义传感器安全
尽管囿于加速度计采样率的限制,目前的语音重构模型仅能重构1500Hz以下的音频数据,但重构出的音频已经包含了成人语音中的所有元音信息,进而被人工轻易识别出来。
当前智能手机App可在用户不知情、无需系统授权的情况下,利用手机内置加速度传感器采集手机扬声器所发出声音的震动信号,实现对用户语音的窃听。
2
“是否允许该App共享您的位置信息?”
“是否允许该App使用您的麦克风?”
可见,在特定的技术加持之下,利用加速度计去窃取个人信息,已经非常容易了。
另外,研究团队还利用一个 ”重新构建模型“ 去进行语音还原——实验结果显示,当志愿者去聆听重新构建的(含有信息敏感词汇)语音时,他们能够很好地区分其中所包含的敏感信息。
3
如何解除加速计带来的安全威胁?任奎介绍,一种方案是提高调用加速计的系统权限安全等级,将调用手机加速计读数的安全权限提升到手机麦克风的级别,但这种解决方案将会严重影响到所有需调用加速计的App运行,导致大规模的系统更新与App软件升级;另一种方案是通过修改硬件设计,使用物理隔离的方法,让加速计难以采集到扬声器声音的震动信号,从而彻底防御这一类的侧信道攻击。
除了加速度计,也要小心手机中的
“可以说,我们的研究结果是目前已发表的论文中,使用深度学习算法唯一在现实场景中切实可行的基于加速度计数据语音准确识别和重建的窃听攻击技术。”任奎说。
他们将这种攻击方式命名为“AccelEve”(加速度计窃听)——一种基于深度学习加速度传感器信号的新型“侧信道”智能手机窃听攻击。
为了测试实际场景中的效果,在论文中,研究者还进行了一个现实场景的信息攻击实验。在这一实验中,被攻击者通过打电话索要一个密码,而实验的目标就是利用被攻击者所使用的手机的加速度计定位和识别会话中的密码——结果显示,在 240 次会话测试中,成功定位到语音中包含的密码的次数的超过 85%。而在定位到密码之后,准确识别出密码中每个数字的概率超过了50%,对于无法准确识别出来的数字,该攻击可以将该数字的可能取值范围缩小到3个以内,准确率超过80%
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
在日常手机应用中,加速度传感器通常被用户测速、记录步数等,因此在普遍认知中似乎与通话、短信、通信录等敏感信息产生关联,因此App 也无需获得用户授权就可以获得智能手机的加速度信息。
加速度传感器,是当前智能手机中常见的一种能够测量加速度的传感器,通常由质量块、阻尼器、弹性元件、敏感元件和适调电路等部分组成,传感器在加速过程中,通过对质量块所受惯性力的测量,利用牛顿第二定律获得加速度值,它所返回的数据值即为当前手机在 x、y、z 三个方向上的加速度值。
不过,这两种解决方案实施起来的经济与社会成本都较高,短期内难以完全杜绝这类窃听攻击的发生。
加速度传感器是如何出卖你的信息的?
