语音还原_存在威胁：能导致网银，银行卡密码等被窃

去年的 3.15 派对曾曝光移动应用滥用权限，侵犯用户个人隐私。一年后，在最近召开的网络与分布式系统安全会议（NDSS 2020））上，来自浙江大学、加拿大麦吉尔大学和多伦多大学的学者团队的最新研究成果表明，黑客可能使用智能手机内置的加速度传感器，可以偷偷“合法”窃听用户的语音，包括电话、微信语音等。

结果表明，智能手机APP可以在用户不知情、无需系统授权的情况下，利用手机内置的加速度传感器采集手机扬声器发出的声音的振动信号，从而实现窃听用户的声音。

请注意，这并非危言耸听。

生活中难免会出现这样的场景：用户A用智能手机公开播放微信语音手机加速度传感器调用，用户B用智能手机拨打电话。在未经任何授权的情况下，攻击者可以利用手机中扬声器和油门的距离识别出用户A和用户B各自的语音信息，并将其还原为声音信号。

手机被“窃听”后的安全隐患

攻击者可以通过加速度传感器采集手机声音引起的振动信号，进而识别甚至还原手机播放的声音信号。通过深度学习算法，研究实现了语音识别和语音恢复两大类，共三种有效窃听攻击：

语音密码识别

_

存在一个威胁：它可能导致网上银行、银行卡密码等被盗。利用这种技术，攻击者可以识别智能手机播放的用户语音中包含的所有数字和字母数字信息。

语音敏感词识别

_

存在一个威胁：可能导致用户个人隐私信息被盗。攻击者可以利用该技术定位和识别用户语音通话中的敏感信息，包括省份、城市、信用卡、身份证等信息。

语音恢复

_

存在一个威胁：它可能导致用户部分手机内容被直接窃听。该技术通过学习加速器数据与音频数据之间的映射和关联，将加速器采集到的振动信号还原为原始音频信号。

从密码、关键信息到更多的语音内容，手机被窃听后，会侵犯个人隐私，对普通人造成财产损失，对企业运营造成严重影响，更容易危及政府、军队等国家敏感单位。政府运作和国家安全。

如何停止被“窃听”——该怎么做

要实现这样的窃听，关键是要能够通过App来监测和控制手机加速度传感器的使用。

解决这个问题的难点在于，漏洞被利用的方式是“合规的，无需特殊许可申请”。要解决这个问题，需要彻底更换手机或修改操作权限机制，或检测并排除所有存在此风险的应用程序。两者在现实生活中都很难实现。

作为移动业务安全专家，了解Palm Easy成熟的虚拟安全域（VSA，Area）技术，可以在现有手机和操作系统的基础上，实现对各种应用的按需保护和控制，并且可以动态升级引擎手机加速度传感器调用，为各类政府、企业在手机上构建安全工作空间，实现“防窃听”，在各种业务场景下实现更多安全防护。

1、VSA核心技术

基于操作系统底层技术，为移动应用打造专属安全的增强型虚拟运行环境，使移动应用运行安全可控，限制应用滥用权限，包括从加速度传感器。各种已知或未知的应用程序都可以根据应用程序的行为特征进行动态处理，无需依赖现有的特征库。

2、安全工作区

手账易可以为用户的手机提供一个相对隔离、安全、可信的空间，也可以提供一个私有的应用商店，借助VSA技术可以控制应用。在安全的工作空间中，用户可以放心地安装和使用应用程序。

3、完善的安全策略

对发布在安全工作空间中的各种应用程序的权限和行为进行细粒度控制，不仅可以防止此类“窃听”行为，还可以有效降低业务数据泄露的风险。这些安全策略包括：

防止ROOT提权攻击 控制手机应用调用加速度传感器行为 控制手机应用获取麦克风权限

4、动态升级，按需保护

核心 VSA 引擎可以动态升级。无论操作系统是否明确规定了应用行为，都可以根据业务场景的需要随时开启安全防护。

结合自掌易移动商务智能安全平台，可进一步实现“云-管-端”的完整移动安全防护。

行业应用场景

目前，智掌易已推出手持军营移动安全态势感知解决方案、政企数字化安防工作空间等多种行业解决方案，帮助军队、政府机关、各类企事业单位提供可信应用商店，打造移动终端安全。工作空间，保护政企信息安全和用户隐私安全，助力净化我国网络安全环境。

参考文章：《原来是手机在“偷听”你》

文章来源:http://baijiahao.baidu.com/s?id=1661501308790971442&wfr=spider&for=pc

感谢您的来访，获取更多精彩文章请收藏本站。