手機語音資訊洩露須打技術法律“補丁”

　　原標題：浙江大學一研究團隊發現手機加速度感測器存在資訊洩露風險——手機語音資訊洩露須打技術法律“補丁”

　　“一新攻擊路徑與技術的發現表明，手機在軟硬體方面的安全漏洞還需要得到更多關注。”日前，浙江大學網路空間安全學院院長任奎及其團隊宣佈研究發現“手機加速度計竊聽”問題——一種基於深度學習加速度感測器信號的新型“側信道”手機竊聽攻擊方法。

　　據悉，手機加速度計是智慧手機中一種能測量加速度的感測器。這個團隊研究發現一些手機APP可在用戶不知情、無須系統授權的情況下，利用手機內置加速度感測器採集手機揚聲器所發出聲音的震動信號，實現對用戶語音的竊聽，“這種攻擊非常難以察覺，對用戶隱私威脅很大，目前這種行為處於法律法規的灰色地帶”。

　　隱蔽的竊聽行為

　　“加速度感測器是目前智慧手機中最常見的一種嵌入式感測器，主要用於探測手機本身的移動，常見的應用場景包括移動檢測、步數統計、遊戲控制等。”任奎告訴記者，它之所以能被用來監聽電話，主要是由於手機本身的物理結構，“由於聲音信號是一種由震動産生的可以通過一些介質進行傳播的聲波，因此手機揚聲器發出的聲音會引起手機的震動，而加速度感測器可以準確感知到這些震動，攻擊者能通過它來捕捉聲音信號引起的手機震動進而推斷出其中所包含的敏感資訊。”

　　該團隊的實驗結果顯示，竊聽語音的準確率與具體的竊聽任務有關，在一些關鍵字的檢測任務中，這種竊聽攻擊能以平均90%的準確率識別並定位用戶語音中所攜帶的關鍵字。攻擊者在訓練自己的模型時可以自行選擇想要識別哪些關鍵字。在數字識別的任務中，這種竊聽攻擊能以接近80%的準確率對0～9這10個數字的英文發音進行區分。準確率有所降低的原因是數字的發音較為簡單，越複雜的詞彙識別率越高。在實際攻擊中，攻擊者還能結合上下文資訊和實際語言中各詞彙的使用頻率進一步提升竊聽語音的準確率。

　　據了解，能夠收集語音資訊意味著攻擊者可以從用戶的手機中竊取多種隱私數據，比如通過竊聽用戶的電話、語音資訊、語音備忘錄等，從中提取出用戶的家庭住址、信用卡資訊、身份證號、用戶名密碼等重要資訊；通過竊聽手機地圖的語音導航系統，能提取出一些跟位置有關的關鍵字，推斷出用戶目前的位置、目的地；通過竊聽用戶手機播放的音樂和視頻，能推斷出用戶在這些方面的偏好。

　　亟須重新審視“加速計數據”

　　“針對研究發現，我們建議各大手機廠商提高加速度感測器的許可權級別，儘量避免各類應用在非必要的情況下採集加速計數據。同時，各大廠商還應限制加速計的採樣頻率，或通過系統內置濾波器提前過濾掉加速度感測器信號中包含最多語音資訊的高頻部分。”任奎呼籲，為避免將來出現類似的漏洞，各大手機廠商應重新評估一些感測器的安全性和敏感性，修改作業系統對手機APP調用各種感測器數據的使用許可權，從系統層面來考慮杜絕未來的側信道攻擊路徑。

　　目前，在法律法規方面，根據最新的《資訊安全技術個人資訊安全規範》和《關於開展APP違法違規收集使用個人資訊專項治理的公告》，對個人敏感資訊的保護主要是對證件號碼、銀行賬戶、通信記錄等具體的個人敏感資訊進行保護，重點治理各類APP運營者違法違規收集個人資訊的行為。專家表示，由於加速計數據本身並不屬於個人敏感資訊，且攻擊者可以通過計步軟體等必須用到加速計的APP“合理合法”地對加速計數據進行收集。這就意味著，該竊聽方式處於一種灰色地帶，除了在技術方面需要“打補丁”，在法律層面也亟須一定的規制。

　　對此，任奎建議，首先應從技術層面加大對移動設備物理層安全的研究投入，了解各類感測器的實際數據採集能力以及可能造成的隱私問題，對可能存在的各類攻擊做到心中有數並依此重新設計手機作業系統中各類感測器的許可權使用機制，從技術的角度盡可能降低數據被濫用的可能性。在此基礎上，應當從法律法規上細化對敏感資訊的定義和使用規範。（記者 徐新星）