????加速度計(jì)，又稱加速度傳感器，目前在智能手機(jī)上被廣泛地應(yīng)用，可以通過測(cè)量手機(jī)在各個(gè)方向上的“應(yīng)力”來得出加速度，像手機(jī)中的計(jì)步器、“搖一搖”等許多功能都基于這些傳感器來實(shí)現(xiàn)。以往業(yè)界普遍認(rèn)為其和個(gè)人隱私信息無關(guān)，因此在功能設(shè)置上，手機(jī)APP可以“無門檻”調(diào)用加速度計(jì)讀數(shù)或是獲取相應(yīng)權(quán)限。

????但是近日，在國(guó)際四大信息安全會(huì)議之一的 “網(wǎng)絡(luò)與分布式系統(tǒng)安全會(huì)議”上，一項(xiàng)來自浙江大學(xué)、加拿大麥吉爾大學(xué)、多倫多大學(xué)學(xué)者團(tuán)隊(duì)的最新研究成果顯示：部分智能手機(jī)APP可在用戶不知情且無需系統(tǒng)授權(quán)的情況下，利用手機(jī)內(nèi)置的加速度傳感器來采集手機(jī)揚(yáng)聲器所發(fā)出聲音的震動(dòng)信號(hào)，實(shí)現(xiàn)對(duì)用戶語音的竊聽。

????利用通話時(shí)的手機(jī)震動(dòng)實(shí)現(xiàn)竊聽

????“加速度傳感器是目前智能手機(jī)中最常見的一種嵌入式傳感器，它主要用于探測(cè)手機(jī)本身的移動(dòng)，常見的應(yīng)用場(chǎng)景包括移動(dòng)檢測(cè)，步數(shù)統(tǒng)計(jì)和游戲控制等?！闭憬髮W(xué)網(wǎng)絡(luò)空間安全學(xué)院院長(zhǎng)、教授任奎告訴科技日?qǐng)?bào)記者，它之所以能被用來監(jiān)聽電話，主要是由于聲音信號(hào)是一種由震動(dòng)產(chǎn)生的、可以通過介質(zhì)傳播的聲波，手機(jī)揚(yáng)聲器發(fā)出的聲音會(huì)引起手機(jī)的震動(dòng)，而加速度傳感器可以靈敏地感知這些震動(dòng)，因此攻擊者可以通過它來捕捉手機(jī)震動(dòng)進(jìn)而破解其中所包含的信息。

????通過加速度傳感器竊聽語音的準(zhǔn)確率有多高？“竊聽語音的準(zhǔn)確率與具體的竊聽任務(wù)有關(guān)。根據(jù)我們的實(shí)驗(yàn)結(jié)果，在關(guān)鍵字檢測(cè)任務(wù)中，這種竊聽攻擊識(shí)別用戶語音中所攜帶的關(guān)鍵字的平均準(zhǔn)確率達(dá)到了90%。”任奎說，在實(shí)際攻擊中，攻擊者還可以結(jié)合上下文信息和實(shí)際語言中各個(gè)詞匯的使用頻率，進(jìn)一步提升語音竊聽的準(zhǔn)確率。

????手機(jī)加速度計(jì)可以收集語音信息，這意味著攻擊者可以從用戶的手機(jī)中竊取多種隱私數(shù)據(jù)?！氨热纾粽咭苍S可以從語音信息中提取出用戶的家庭住址、信用卡信息、身份證號(hào)、用戶名密碼等一系列重要信息；通過竊聽手機(jī)地圖的語音導(dǎo)航系統(tǒng)，攻擊者也許能提取出一些跟位置有關(guān)的關(guān)鍵字，推斷出用戶目前的位置以及目的地；通過竊聽用戶手機(jī)播放的音樂和視頻，攻擊者可以推斷出用戶在這些方面的偏好?！比慰偨Y(jié)說，這種攻擊方式對(duì)用戶隱私安全具有很大威脅。

????此外，任奎進(jìn)一步強(qiáng)調(diào)，這種攻擊對(duì)場(chǎng)景并沒有特別的要求，無論手機(jī)用戶將手機(jī)放在桌子上還是拿在手中，“甚至邊使用手機(jī)邊走路，攻擊者都可以準(zhǔn)確地識(shí)別出手機(jī)揚(yáng)聲器所播放的語音信息?！?/p>

????“傳感器數(shù)據(jù)”亟待重新審視

????據(jù)了解，現(xiàn)行的法律法規(guī)對(duì)個(gè)人敏感信息的保護(hù)，主要是針對(duì)證件號(hào)碼、金融賬戶等具體的個(gè)人敏感信息。由于加速計(jì)數(shù)據(jù)本身并不屬于個(gè)人敏感信息，攻擊者可以利用計(jì)步軟件等必須用到加速計(jì)的APP“合理”地對(duì)加速計(jì)數(shù)據(jù)進(jìn)行收集，因此采集加速計(jì)數(shù)據(jù)這種行為本身并不違法。這就意味著，這種攻擊方式目前仍處于法律法規(guī)的灰色地帶。“但使用或販賣分析出的個(gè)人敏感信息應(yīng)該是違法的?！比慰f。

????為有效防御此類攻擊，任奎建議，首先應(yīng)該從技術(shù)層面加大對(duì)移動(dòng)設(shè)備物理層安全的研究投入，了解各類傳感器的實(shí)際數(shù)據(jù)采集能力以及它們可能造成的隱私問題，對(duì)可能存在的各類攻擊做到心中有數(shù)。然后依此重新設(shè)計(jì)智能手機(jī)操作系統(tǒng)中各類傳感器的權(quán)限使用機(jī)制，從技術(shù)的角度盡可能地降低數(shù)據(jù)被濫用的可能性。

????此外，任奎還補(bǔ)充道：“我們應(yīng)當(dāng)從法律法規(guī)上細(xì)化對(duì)敏感信息的定義和使用規(guī)范。除了對(duì)證件號(hào)碼、銀行賬戶、通信記錄和內(nèi)容等具體的個(gè)人敏感信息進(jìn)行保護(hù)外，還應(yīng)對(duì)可能包含這些信息的原始傳感器數(shù)據(jù)進(jìn)行保護(hù)，規(guī)范和限制這類數(shù)據(jù)的采集和使用方式。”

????那么作為普通消費(fèi)者，我們目前有機(jī)會(huì)防止自己的手機(jī)被竊聽嗎？在任奎看來，各大手機(jī)廠商提出進(jìn)一步解決方案之前，消費(fèi)者能夠采取的最有效也最便捷的防御方式，就是通過耳機(jī)來接聽電話或語音信息。手機(jī)中的加速計(jì)與耳機(jī)間存在著物理隔離，使其無法監(jiān)測(cè)到耳機(jī)發(fā)出的震動(dòng)，所以通過耳機(jī)播放的聲音是不會(huì)被這種攻擊竊聽的。