新型“侧信道”手机窃听攻击方法(组图)

“新的攻击路径和技术的发现表明,手机在软硬件方面的安全漏洞需要更加重视。” 近日,浙江大学网络空间安全学院院长任奎及其团队公布了“手机加速度计窃听”的发现。问题——一种基于深度学习加速度计信号的新型“侧信道”手机窃听攻击方法。

据悉,手机加速度计是一种可以测量智能手机中加速度的传感器。团队研究发现,部分手机APP可以在用户不知情、无需系统授权的情况下,利用手机内置的加速度传感器采集手机扬声器发出声音的振动信号,从而实现窃听对用户的声音,“这种攻击很难被发现,对用户隐私有很大威胁,而且这种行为目前处于法律法规的灰色地带。”

秘密窃听

“加速度传感器是智能手机中最常见的嵌入式传感器,主要用于检测手机本身的运动,常见的应用场景包括运动检测、计步、游戏控制等。” 任奎告诉记者手机加速度传感器调用,其因此可以用来监控手机,主要是因为手机本身的物理结构,“因为声音信号是振动产生的声波,可以通过一些介质传播,所以声音来自手机扬声器的声音会导致手机振动,而加速度计可以准确地感知这些振动,攻击者可以利用它来捕捉声音信号引起的手机振动,并推断出其中包含的敏感信息。”

该团队的实验结果表明,窃听语音的准确性与具体的窃听任务有关。在一些关键词检测任务中,这种窃听攻击可以识别和定位用户语音中携带的密钥,平均准确率达到90%。特点。攻击者可以在训练模型时选择他们想要识别的关键字。在数字识别任务中,这种窃听攻击可以区分0到9的10位数字的英文发音,准确率接近80%。准确率下降的原因是数字更容易发音,更复杂的单词更容易被识别。在实际攻击中,

据了解,能够采集语音信息意味着攻击者可以从用户手机中窃取多种隐私数据,例如通过窃听用户手机、语音信息、语音备忘录等,提取用户的家地址、信用卡信息、身份证等号码、用户名、密码等重要信息;通过窃听手机地图的语音导航系统,可以提取一些与位置相关的关键词,从而推断出用户当前的位置和目的地;推断这些领域的用户偏好。

迫切需要重新审视“加速度计数据”

“针对研究结果,我们建议各大手机厂商提高加速度传感器的许可等级,尽量避免各种应用在不必要的时候采集加速度数据。同时,各大厂商也应该限制加速度计的采样频率,或者使用系统内置的滤波器,预先滤除加速度传感器信号中包含最多语音信息的高频部分。” 任奎呼吁,为避免未来出现类似漏洞,各大手机厂商应重新评估部分传感器的安全性和灵敏度,修改操作系统有权使用手机APP调用各种传感器数据,

目前,在法律法规方面,根据最新的《信息安全技术个人信息安全规范》和《关于开展APP非法收集、使用个人信息专项治理的公告》,对个人敏感信息的保护是主要对证件号码、银行账户等、通讯记录等具体个人敏感信息进行保护,重点管理各类APP运营商非法收集个人信息。专家表示手机加速度传感器调用,由于加速度计数据本身不是敏感的个人信息,攻击者可以通过必须使用加速度计的应用程序(例如计步软件)“合理合法”地收集加速度计数据。这意味着窃听方法处于灰色地带。除了技术上需要“补丁”之外,在法律层面也迫切需要一些规定。

对此,任奎建议,首先要从技术层面加大对移动设备物理层安全研究的投入,了解各种传感器的实际数据采集能力以及可能引起的隐私问题,并注意各种可能的攻击。基于此,我们重新设计了手机操作系统中各种传感器的权限使用机制,从技术角度尽可能降低数据滥用的可能性。在此基础上,应从法律法规的角度细化敏感信息的定义和使用规范。

文章来源:http://baijiahao.baidu.com/s?id=1663549029037060163&wfr=spider&for=pc

------本页内容已结束,喜欢请分享------

感谢您的来访,获取更多精彩文章请收藏本站。

© 版权声明
THE END
喜欢就支持一下吧
点赞7 分享