中国质量新闻网
您当前位置: 新闻中心>>中国质量报>>第六版>>

App无授权就能监听电话,准确率可达90%

2020-03-19 10:03:29 中国质量报

App无授权就能监听电话,准确率可达90%

手机加速度传感器成“窃听器”

□ 本报记者 何 可

“是否允许该App使用您的麦克风?”“是否允许该App共享您的位置信息?”“是否允许”这一句式,越来越多地出现在用户使用App的时候。只有经过用户允许,App才能收集手机位置等敏感信息。但是“是否允许”真的能将手机的安全漏洞完全堵死吗?

在近日召开的网络与分布式系统安全会议上,浙江大学网络空间安全学院院长任奎团队带来了一个令人心惊的消息。该研究团队在会上发表论文称,他们发现一个新攻击路径,当前智能手机App可在用户不知情、无需系统授权的情况下,利用手机内置加速度传感器采集手机扬声器所发出声音的震动信号,实现对用户语音的窃听。

3月11日,任奎在一场线上论坛接受记者采访时表示,这一攻击路径不仅隐蔽而且“合法”。也就是说,用户很可能在毫无感知的情况下泄露隐私,而攻击者并不违法。

据了解,加速度传感器是目前智能手机中最常见的一种嵌入式传感器,它主要用于探测手机本身的移动,常见的应用场景包括移动检测、步数统计和游戏控制等。

“加速度传感器之所以能被用来监听电话,主要是由于智能手机本身的物理结构。由于声音信号是一种由震动产生的可以通过气态、液态、固态的各类介质进行传播的声波,因此手机扬声器发出的声音会引起手机本身的震动。而加速度传感器可以准确地感知到手机本身的震动,因此攻击者可以通过加速传感器来捕捉声音信号引起的手机震动进而推断出其中所包含的敏感信息。”任奎说。

那么,加速度传感器窃听语音的准确率有多高?是否需要在特定场景下才能进行?对此,任奎表示,窃听语音的准确率与具体的窃听任务有关。“在关键字检测任务中,这种窃听攻击可以以平均90%的准确率识别并定位用户语音中所携带的关键字。”

据任奎介绍,这种窃听方式之所以不违反当前监管部门的规定,是因为加速计数据在各类手机中均被定义为非敏感数据,各类手机应用可以在无需申请权限的情况下自由采集。

中央网信办等部门1月25日发布的关于开展App违法违规收集使用个人信息专项治理的公告显示,重点治理的是App运营者违法违规收集个人信息的行为,要求运营者不得收集与其提供的服务无关的个人信息。

“这种窃听攻击是攻击者在拿到加速计数据之后进行进一步分析的手段。攻击者完全可以先通过记步软件等必须用到加速度传感器的App‘合理合法’地对加速计数据进行收集,进而发起窃听攻击,因此这种攻击目前仍属于法律法规的灰色地带。但使用或贩卖分析出的个人敏感信息是违法的。”任奎说。

“建议各大手机厂商提高加速度传感器的权限级别,避免各类应用在非必要的情况下采集加速计数据。与此同时,各大厂商还应对加速计的采样频率进行限制,或通过系统内置滤波器提前过滤掉加速度传感器信号中包含最多语音信息的高频部分。”为了避免将来出现类似的漏洞,任奎建议各大厂商重新评估各个传感器的安全性和敏感性,修改Android操作系统对手机App调用各种传感器数据的使用权限,杜绝未来的侧信道攻击路径。

《中国质量报》

(责任编辑:小易)
最新评论
声明:

本网注明“来源:中国质量新闻网”的所有作品,版权均属于中国质量新闻网,未经本网授权不得转载、摘编或利用其他方式使用上述作品。已经本网授权使用作品的,应在授权范围内使用,并注明“来源:中国质量新闻网”。违反上述声明者,本网将追究其相关法律责任。若需转载本网稿件,请致电:010-84648459。

本网注明“来源:XXX(非中国质量新闻网)”的作品,均转载自其他媒体,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。文章内容仅供参考。如因作品内容、版权和其他问题需要同本网联系的,请直接点击《新闻稿件修改申请表》表格填写修改内容(所有选项均为必填),然后发邮件至 lxwm@cqn.com.cn,以便本网尽快处理。

图片新闻
  • 机油液位上升、加注口变“奶盖”不要 ...

  • 安全的召回与召回的安全

  • 广汽本田2019年超额完成目标,体 ...

  • 自研自造铸市场底力 威马为新势力唯 ...

  • 中国汽车文化的先驱 奥迪第三次华丽 ...

最新新闻