標籤:

流氓APP能猜出我的銀行密碼,泄密者竟然是我自己……

手機太能幹了:計算你每天走了多少步,幫你導航,成為你的轉賬工具……這是因為它們裝了一套感測器。手機感測器的功能,有些曾被我們忽略了,比如感知光線、濕度、壓力以及氣溫

手機感測器每時每刻都在與人為伴,畢竟絕大多數人選擇一直開機,即使手機鎖著屏。

手機用它們機敏的「觀察力」完成我們吩咐,是件好事,但是手機擁有的過多私人信息,也讓它們成為強大的潛在間諜。看似無害的數據,比如氣壓計讀數的微小變化,也能暴露你的海拔,即位於建築的第幾層。

也許,這些鬼鬼祟祟的入侵還沒有發·生在你的生活里。但是,學界和產業界的相關研究者們,已經開始正試圖阻止入侵的出現。

小感測器,可能透露大秘密

不用授權,就能算出你的密碼

手機中的運動探測器,比如加速計和旋轉感知陀螺儀,可能成為暗地收集手機數據的主要工具。它們不受訪問許可的保護。也就是說,一個剛安上的應用,不需要得到手機使用者的授權,就能訪問這些感測器。

加州大學洛杉磯分校的工程師瑪尼·斯里瓦斯塔瓦說,「這些感測器信號上包含著極多樣的環境信息。」

舉個例子,觸碰手機屏幕的不同區域,會讓手機傾斜並有些許位移,而手機上的運動感測器可以識別這種方式。這些感測器的數據用人類的眼睛看也許毫無意義,但複雜的計算機程序可以在混亂中識別出各種模式,並將一塊塊運動數據和對不同按鍵區域的觸碰匹配起來。

大多數情況下,這些計算機程序都使用了機器學習的演算法,阿勒·海奇說。研究者給這些程序提供大量運動感測器的數據,這些數據標記有特定運動造成的鍵盤觸擊信息,由此訓練它們識別鍵盤敲擊。

一些研究者創建了一個叫做TouchLogger的應用,該應用可以收集方向感測器的數據並用這些數據來推測用戶按了手機上哪些數字鍵。在2011年舊金山USENIX的關於安全熱點的專題討論會上,TouchLogger在HTC手機上進行了一次測試,對按鍵輸入的推測正確率達到了70%以上。

自那以後,科學家們編寫推測各類手機上的數字以及字母按鍵的代碼,做了許多類似的研究。在2016年《普適與移動計算》期刊上,阿勒·海奇和他的同事對這些研究進行了評述。按鍵可以泄漏所有信息——從網上銀行的登陸密碼,到一封郵件,或者一條簡訊的內容。

一個更新的應用程序利用了一整套手機感測器,來猜PIN碼,包括陀螺儀、加速計、光感測器以及測量磁性的磁強計在內的。這個應用分析的是手機的移動軌跡,以及在觸屏時用戶手指是如何遮住光感測器的。根據研究者2017年12月發布的報告,在50個PIN碼庫的測試中,這個應用通過按鍵推測出的答案有99.5%正確。

其他研究者有匹配運動數據與錄音記錄的,這可以挑出手指點擊屏幕時發出的較輕的聲音。一個研究小組設計了一款可以偽裝成簡單筆記工具的惡意軟體。當用戶使用該應用鍵盤的時候,這個應用會悄悄記錄下鍵盤輸入信息、鍵盤輸入時麥克風和陀螺儀的數據,來學習每個按鍵的聲音和移動感覺。

這款應用甚至能夠在後台竊聽用戶在其他應用上輸入的敏感信息。根據2014年美國計算機協會召開的無線與移動網路的安全隱私會議[3]的記錄,在三星和HTC手機上測試的時候,這個應用推測出的100個4位PIN碼的正確率是94%。

不過阿勒·海奇指出,這個成功率這麼高,主要是因為擊鍵解碼技術是在可控條件下運行的。它假設的大前提是,用戶會用一種特定的姿勢握著手機或坐下來打字。如果在更廣的範圍中呢?效果還有待觀察。但是,運動感測器或者其他感測器是否能成為侵犯隱私的新工具?——顯而易見,它們可以。

跟蹤狂:運動感測器

你去了哪,可能見什麼人,我都知道

運動感測器同樣可以描繪出一個人旅途,比如一次地鐵或公交行程。一次旅程產生的潛在移動數據和更短的、急速的運動——比如把手機從口袋裡拿出來——有可分辨的不同。研究者設計了一款應用,從加速計記錄中抓取不同地鐵路線的數據標誌,該研究發表在了2017年IEEE[1]的《信息取證與安全事務》期刊上。

實驗使用了三星手機,在中國南京的地鐵上進行測驗。這個追蹤應用可以從辨認出使用者乘坐地鐵的路線,當乘坐站數變多時,應用的推測準確率也相應提高。當乘車距離是3站、5站、7站的時候,與之對應的最低正確率是59%、81%和88%。有能力窺探用戶地鐵移動路線的人也許能知道用戶的私人信息,比如用戶的居住地點和工作地點、用戶常去的商店或酒吧、日常行程。如果這個應用能追蹤多人的話,窺探者甚至能知道用戶會在哪些地點見哪些人。

加速計的數據同樣可以窺探駕駛路線,2012年就有人描述過。其他感測器可以用於跟蹤人們在有限空間內的運動:有一個團隊同步了手機的麥克風和攜帶型揚聲器,製造出一個動態聲納系統去描繪一個人在屋子裡的移動軌跡。這個團隊的研究發表在了2017年9月的美國計算機協會期刊上[2]。

保持警惕

這不只是隱私被窺探

「幸運的是,現實生活我們還沒有看見類似感測器間諜技術的玩意兒。」邁阿密佛羅里達國際大學的電氣與電子工程師塞爾丘克·烏迦克說,「但是這不代表我們不需要防禦這個來自外界的明顯威脅。」

之所以要保持警惕,是因為研究者用來收集感測器數據的演算法變得越來越先進而且使用門檻低,梅內茲德說。研究者想要提醒大家的是,現在能設計出這種侵犯隱私程序的不只有那些有著好多個博士學位的人。即使是那些不了解機器學習演算法內在工作原理的應用程序開發者,也可以輕而易舉地利用網上的代碼來製作窺嗅探感測器的程序。

而且,手機感測器不僅僅只是為那些兜售竊密軟體的網路犯罪分子提供窺探隱私的機會。合法的應用程序通常會收集用戶信息,比如搜索引擎和應用下載的記錄,然後賣給廣告商或其他第三方。而第三方可以利用這些信息了解用戶生活的各個方面——那些用戶不一定想要分享的方面。

拿健康保險公司舉個例子。「你也許不想讓他們知道你是一個懶人還是一個愛運動的人,」梅內茲德說,「運動感測器會記錄你每天運動量是多少,他們可以很容易分辨出你是哪一個類型的人。」

感測器防護措施

讓第三方軟體遠離隱私信息

因為現在,不可信的第三方從感測器數據里獲得私密信息變得越來越容易,所以研究者想要找出方法,讓人們能清楚地知道,什麼應用能獲取設備上的信息。一些防護措施可能會以獨立應用的形式出現,或者以工具的形式,通過手機系統更新嵌入。

烏迦克和他的同事在2017年8月溫哥華USENIX安全研討會上提出創建一個叫第六感(6thSense)的系統。這個系統用來監視手機感測器的活動,在感測器有不尋常行為的時候提醒用戶。用戶訓練這個系統來識別手機在進行日常活動比如打電話、瀏覽網頁以及導航時的感測器行為。然後,第六感會持續檢測手機感測器是否與有這些習得行為不一樣的活動。

如果哪一天第六感識別出不尋常的舉動——比如運動感測器在收集一個用戶坐著或打字時的數據,第六感就會提醒用戶。然後用戶就可以檢查是哪一個最近下載的應用做出了可疑行為,並且從手機中刪掉這個應用。

烏迦克的團隊最近在測試這個系統的原型:50位用戶使用三星手機對第六感進行識別典型感測器活動的訓練。研究者將來自日常活動中的無害數據樣例和感測器惡意操作數據混合,然後讓第六感挑出其中的問題數據,第六感的正確率超過了96%。

對於想要更主動的掌控自身數據的用戶,薩普里約·查克拉博蒂(Supriyo Chakraborty)和他的同事設計了DEEProtect系統。薩普里約是一位隱私與安全研究員,在IBM公司位於紐約約克高地的研究中心工作。他和同事設計的這款系統可以讓應用無法根據感測器數據辨認出用戶的具體活動。根據2017年2月在網站(arXiv.org)上公布的論文,用戶可以使用這一系統限定應用的感測器數據使用方式。比如,一個人也許想用一款應用轉錄錄音,但不想讓應用辨認出說話者是誰。

DEEProtect截取應用獲得的原始感測器數據,然後只將用戶批准的那部分功能所需要的數據提供給應用程序。對於語音轉錄文字,手機通常需要聲音頻率信息和一個句子中特定詞語相連的概率信息。

但是聲音頻率可以讓一個間諜軟體推測出說話者的身份。所以DEEProtect系統會將這項數據篡改後再交給應用,只讓應用獲得有關詞序的信息——因為這部分與說話者的身份關聯很小或者基本沒有。用戶可以控制DEEProtect對數據的修改程度,改得越多隱私泄露得就越少,但應用功能也會相應受到限制。

賓州州立大學(Penn State)的計算機科學家和工程師朱塞佩·彼得拉卡(Giuseppe Petracca)和他的同事使用了另一種方法來保護用戶。他們使用一個叫做AWare的安全系統防止用戶無意間允許欺詐性應用訪問感測器。

惡意軟體可能在不同請求時使用類似的圖標來迷惑用戶。

應用在初次安裝或者初次使用像麥克風、相機這類特定感測器的時候必須得到用戶的許可。但是用戶很可能隨意、盲目、慷慨地甩給應用一堆許可,他們並不知道嚴重性。

相比在新應用安裝時請求授權,AWare會在一個應用第一次使用某個特定感測器提供某個特定輸入的時候發出請求,比如用戶按下相機按鈕的時候。不僅如此,AWare系統還能記住在用戶初次給予應用許可權時手機的狀態——手機屏幕上的具體畫面、請求的哪項感測器許可以及其他信息。通過這種方法,在之後應用想要欺騙用戶獲取訪問許可時,AWare就可以提醒用戶。

朱塞佩和他的同事用想像中的一個狡猾的數據盜取應用作為例子。這個應用會在用戶第一次按下相機按鈕的時候申請相機訪問許可權,但還會在用戶第二次按下相機按鈕時試圖獲取麥克風的訪問許可權。這時候AWare系統就會意識到在初次授權時,麥克風功能並沒有包含在許可範圍內,從而會再次詢問用戶是否要給予應用這個額外許可權。該系統同樣在2017年USENIX安全研討會上進行了展示。

朱塞佩和同事發現,用戶在使用裝有AWare系統的Nexus手機時避免了93%的不必要授權,而使用典型條款即應用在首次安裝或使用時請求許可的情況下,這一數字是9%。

隱私保護,道阻且艱

這是一場不會終止的博弈

谷歌的安卓安全團隊同樣在努力減少應用收集感測器數據帶來的隱私暴露風險。安卓系統安全工程師雷內·邁爾霍夫(Rene Mayrhofer)說,他和他的同事正在密切關注學術界最新的安全研究。

但是僅僅是某個人成功創建並測試了新手機安全系統的原型,並不意味著它會出現在將來的手機操作系統更新中。安卓並沒有適配這些感測器防護措施,邁爾霍夫解釋道,因為我們的安全團隊還在尋找一種可以維持適當平衡的協議——既可以限制惡意應用又不會妨礙到可信用程序的運行。

「整個應用生態系統太大了,其中許多不同的應用程序的目的都是正當的。」他補充道。任意一種抑制應用程序使用感測器的新安全系統都可能毀掉那些合法的應用程序。

技術公司也許同樣不情願採取額外的安全措施,因為這些額外的保護措施可能會讓用戶體驗變差,比如AWare的額外彈出請求。安全和便利之間存在一種內在的權衡關係,加州大學洛杉磯分校的斯里瓦斯塔瓦說。「你永遠不可能擁有一個神奇的感測器防護盾,既能保護你的隱私又不影響使用體驗。」

但是隨著感測器變得普及和強大,分析數據的演算法變得越發精明,就算是手機廠商最終也會承認目前的感測器保護措施需要改善。「這就像貓和老鼠,」阿勒·海奇說,「攻擊手段變厲害,解決方案會改善。攻擊手段變得更厲害,解決方案會再度改善。」


推薦閱讀:

如何看待雷軍稱小米將會用2年半的時間,重回中國第一,你覺得他能實現嗎?
雷軍霸氣喊話華為OV:給我10個季度,重回國內市場第一
出門買菜順便買了個手機(下)
「假期模式」你的眼睛還好嗎?
周冬雨代言的vivo x20有什麼特色?

TAG:手機 | 感測器 |