期刊信息
主办:北京理工大学;中国环境科学学会;中国职业安全健康协会
主管:中国兵器工业集团有限公司
ISSN:1009-6094
CN:11-4537/X
语言:中文
周期:双月
影响因子:0.814499
数据库收录:
北大核心期刊(2008版);北大核心期刊(2011版);北大核心期刊(2014版);北大核心期刊(2017版);化学文摘(网络版);中国科学引文数据库(2011-2012);中国科学引文数据库(2013-2014);中国科学引文数据库(2015-2016);中国科学引文数据库(2017-2018);中国科学引文数据库(2019-2020);日本科学技术振兴机构数据库;中国科技核心期刊;期刊分类:环境科学与资源利用
期刊热词:
安全工程
手机窃听准确率可达90这一安全漏洞如何堵
【作者】网站采编
【关键词】
【摘要】最近,浙江大学网络空间安全学院院长任奎与加拿大麦吉尔大学、多伦多大学的研究小组联合发布了一项针对智能手机窃听攻击的研究成果:利用手机内置的加速传感器,当用户不知情
最近,浙江大学网络空间安全学院院长任奎与加拿大麦吉尔大学、多伦多大学的研究小组联合发布了一项针对智能手机窃听攻击的研究成果:利用手机内置的加速传感器,当用户不知情的时候,智能手机 APP可以对用户语音进行窃听,并且准确率达到90%。
加速传感器也称为加速计,是目前智能手机中最常见的一种内嵌传感器,主要用来检测手机自身的运动情况,如平时常用的步数统计和游戏控制等应用场景。不像麦克风、照相机等为公众所知的硬件,它们可能获取个人敏感信息,因为加速器似乎与诸如语音通话、短信等敏感信息没有实际联系,因此,当收集智能手机的加速度信息时,不需要用户授权。但是,正是这款不起眼的设备,可能让人们陷入隐私泄露的危机。
任奎表示,加速度计可以用来侦听电话,这主要是由于智能手机本身的物理结构。我们都知道声音信号是由振动产生的声波,它能通过各种介质传播。所以来自手机扬声器的声音就会引起手机本身的震动。而且,加速计可以精确地感觉到手机震动——攻击者可以通过它捕捉由声音信号引起的手机震动,并推断出其中包含的敏感信息。
总体而言,这是一种应用非常广泛的攻击方法,并且对用户隐私构成严重威胁。
语音监听的准确性与特定的监听任务有关。基于实验结果,该方法能以平均90%的准确率在关键词检测任务中识别和定位用户语音中携带的关键词。在训练自己的攻击模型时,攻击者可以自己选择要识别的关键词。对于数字识别任务,这种窃听攻击的准确率可高达80%,能区分0到9这10个数字的英文发音。
「正确率下降的原因,是数字发音更简单,而复杂词的正确识别率更高」。任奎解释说,这种攻击对场景没有特殊要求,即使是使用手机边走边打受害者的时候,攻击者也能准确识别手机喇叭播放的语音信息。就像人类的听觉系统一样,声音的清晰度也会影响这种攻击的准确性。
不同手机系统的窃听效果是不是不一样?任奎表示,在不同的手机系统中,加速度计的窃听效果可能有所不同。首先,加速度计在不同手机系统上的使用限制不同。例如, IOS要求访问加速度计的所有应用程序提供一个句子,以说明为什么要收集加速度计的数据,根据这个要求,显然没有使用加速度计的应用程序可能不能实施这种窃听攻击。另外,各个手机系统在后台收集加速计数据的机制上也有所不同,这将影响窃听攻击的实际应用场景。
另外,手机本身的结构和性能也会影响窃听的实际效果。对于不同型号的手机,加速度计采样率与采集的声音信号强度可能有一定的差异,从而影响最终的语音识别效果。
怎样才能防止这种窃听方式?任奎表示,作为普通消费者,在各大手机厂商提出进一步解决方案之前,最有效、最方便的防御方法就是通过耳机听电话或语音信息。由于移动电话中的加速计和耳机之间的物理隔离,导致它不能接触到耳机产生的振动,所以通过耳机播放的声音不会受到这种攻击。主要手机厂商应提高加速度计的使用权限等级,尽量避免各类应用在不需要的情况下采集加速度计;也可对加速度计的采样频率加以限制,或提前过滤掉含有最多语音信息的高频部分。
为了避免在未来出现类似的漏洞,我们建议主要厂商重新评估各个传感器的安全性和灵敏度,修改 Android操作系统,授权手机 APP调用各种传感器数据,像鸿蒙 OS这样自主可控的操作系统更能从系统层面上进行考虑,杜绝未来的侧通道攻击。
文章来源:《安全与环境学报》 网址: http://www.aqyhjxb.cn/zonghexinwen/2021/0407/986.html