“加速度傳感器是目前智能手機中最常見(jiàn)的一種嵌入式傳感器，它主要用于探測手機本身的移動(dòng)，常見(jiàn)的應用場(chǎng)景包括移動(dòng)檢測，步數統計和游戲控制等?！闭憬髮W(xué)網(wǎng)絡(luò )空間安全學(xué)院院長(cháng)、教授任奎告訴科技日報記者，它之所以能被用來(lái)監聽(tīng)電話(huà)，主要是由于聲音信號是一種由震動(dòng)產(chǎn)生的、可以通過(guò)介質(zhì)傳播的聲波，手機揚聲器發(fā)出的聲音會(huì )引起手機的震動(dòng)，而加速度傳感器可以靈敏地感知這些震動(dòng)，因此攻擊者可以通過(guò)它來(lái)捕捉手機震動(dòng)進(jìn)而破解其中所包含的信息。

通過(guò)加速度傳感器竊聽(tīng)語(yǔ)音的準確率有多高？“竊聽(tīng)語(yǔ)音的準確率與具體的竊聽(tīng)任務(wù)有關(guān)。根據我們的實(shí)驗結果，在關(guān)鍵字檢測任務(wù)中，這種竊聽(tīng)攻擊識別用戶(hù)語(yǔ)音中所攜帶的關(guān)鍵字的平均準確率達到了90%?！比慰f(shuō)，在實(shí)際攻擊中，攻擊者還可以結合上下文信息和實(shí)際語(yǔ)言中各個(gè)詞匯的使用頻率，進(jìn)一步提升語(yǔ)音竊聽(tīng)的準確率。

手機加速度計可以收集語(yǔ)音信息，這意味著(zhù)攻擊者可以從用戶(hù)的手機中竊取多種隱私數據?！氨热?，攻擊者也許可以從語(yǔ)音信息中提取出用戶(hù)的家庭住址、信用卡信息、身份證號、用戶(hù)名密碼等一系列重要信息；通過(guò)竊聽(tīng)手機地圖的語(yǔ)音導航系統，攻擊者也許能提取出一些跟位置有關(guān)的關(guān)鍵字，推斷出用戶(hù)目前的位置以及目的地；通過(guò)竊聽(tīng)用戶(hù)手機播放的音樂(lè )和視頻，攻擊者可以推斷出用戶(hù)在這些方面的偏好?！比慰偨Y說(shuō)，這種攻擊方式對用戶(hù)隱私安全具有很大威脅。

此外，任奎進(jìn)一步強調，這種攻擊對場(chǎng)景并沒(méi)有特別的要求，無(wú)論手機用戶(hù)將手機放在桌子上還是拿在手中，“甚至邊使用手機邊走路，攻擊者都可以準確地識別出手機揚聲器所播放的語(yǔ)音信息?！?/p>

據了解，現行的法律法規對個(gè)人敏感信息的保護，主要是針對證件號碼、金融賬戶(hù)等具體的個(gè)人敏感信息。由于加速計數據本身并不屬于個(gè)人敏感信息，攻擊者可以利用計步軟件等必須用到加速計的APP“合理”地對加速計數據進(jìn)行收集，因此采集加速計數據這種行為本身并不違法。這就意味著(zhù)，這種攻擊方式目前仍處于法律法規的灰色地帶?！暗褂没蜇溬u(mài)分析出的個(gè)人敏感信息應該是違法的?！比慰f(shuō)。

為有效防御此類(lèi)攻擊，任奎建議，首先應該從技術(shù)層面加大對移動(dòng)設備物理層安全的研究投入，了解各類(lèi)傳感器的實(shí)際數據采集能力以及它們可能造成的隱私問(wèn)題，對可能存在的各類(lèi)攻擊做到心中有數。然后依此重新設計智能手機操作系統中各類(lèi)傳感器的權限使用機制，從技術(shù)的角度盡可能地降低數據被濫用的可能性。

此外，任奎還補充道：“我們應當從法律法規上細化對敏感信息的定義和使用規范。除了對證件號碼、銀行賬戶(hù)、通信記錄和內容等具體的個(gè)人敏感信息進(jìn)行保護外，還應對可能包含這些信息的原始傳感器數據進(jìn)行保護，規范和限制這類(lèi)數據的采集和使用方式?！?/p>

那么作為普通消費者，我們目前有機會(huì )防止自己的手機被竊聽(tīng)嗎？在任奎看來(lái)，各大手機廠(chǎng)商提出進(jìn)一步解決方案之前，消費者能夠采取的最有效也最便捷的防御方式，就是通過(guò)耳機來(lái)接聽(tīng)電話(huà)或語(yǔ)音信息。手機中的加速計與耳機間存在著(zhù)物理隔離，使其無(wú)法監測到耳機發(fā)出的震動(dòng)，所以通過(guò)耳機播放的聲音是不會(huì )被這種攻擊竊聽(tīng)的。

來(lái)源：科技日報