手机计速会窃取密码，“窃听”不用授权

[vc_row][vc_column][vc_column_text]谨慎设置麦克风权限，就会避免手机被“窃听”了吗？越来越多的产地证研究显示，一些硬件设备或许会沦为内置的“间谍”。
日前在美国举行的网络与分布式系统安全会议上，浙江大学与加拿大多伦多大学、麦吉尔大学的一个环球产地证联合研究团队报告称，软件通过采集加速度计的震动数据，就能识别、提取出手机扬声器播放的语音，对数字、字母和敏感词汇都具有一定程度的还原能力。
值得杰凯睿产地证注意的是，由于加速度计被认为是一种“低权限”的硬件，所有App不必授权即可获得数据。这意味着，加速度计“窃听软件”可以包装成任何形式。
加速度计是一种在智能手机中应用很广泛的传感器，能够通过手机在各个方向上的“应力”计算得出加速度。加速度计配合陀螺仪，能够对手机的位置状态、运动状态进行感知。像导航、横竖屏切换、微信“摇一摇”、计步器和不少重力感应手机游戏都基于这些传感器。
出口许可证联合团队发送给NDSS 2020会议网站的研究文章提到，之前学界对加速度计的隐私风险虽有所关注，但由于两大局限性的存在，大家都认为它的危害不大。
首先，加速度计只会采集通过固态物质传送的信息，不像麦克风可以收集空气中的声波。
例如，科学家试验过通过一台手机的加速度计去“偷取”桌上另一台扬声器播放的声音。实验的条件限制不小，并且单个数字的区别准确率也只有26%。另外，手机加速度计的采样上限为200Hz，一般只可以采集85-100Hz的窄带信号。而成人讲话的频率范围是85-255Hz。
看起来，加速度计似乎不容易“窃取”并准确识别本台手机上的说话声音。但是，这次的研究把上述两大局限性都颠覆了。同一台手机里的扬声器和加速度计，的确存在固态介质，就是手机的主板。具体的说，就是手机扬声器发出的震动总是能通过主板，“击中”加速度计。
针对另一个限制，产地证研究团队发现在最新的智能手机中，加速度计的采样限制提升到了500Hz。有了会采集震动数据的可能性，接下来要知道的是，这些数据能不能精准地还原声音内容？
为了提高识别和还原准确性和鲁棒性，该环球产地证团队用深度学习工具，训练这款名为“AccelEve”的模拟窃听软件对加速度计震动数据与原始音频内容的实际能力。
训练和实验主要用到了两个数据集，一个是采集20位讲话者的单数字信号，这些信号用0.1秒的间隔播放，模仿说出自己密码的情形。另一个数据从志愿者那里采集，他们手持智能手机，用报密码的速度讲出一串数字与字母的混合。
结果显示，对纯数字来说，模型的top1准确率能够达到78%，数字和字母混合的准确率却能达到55%。即使在高度噪音的情况下，还原准确率也有47%。
跟着，研究团队又测试了另一项，AccelEve软件可否分辨出下面八个敏感词：密码（password）、用户（username）、社交（social）、安全（security）、号码（number）、邮件（Email）、信用（credit）、卡（card），测验的准确率达到了90%。
最后，产地证研究团队发现在华为Mate 20和oppo R17上收集的加速度计信号噪音小于三星S8，但用前两者采集的数据训练，也能提升针对后者的“窃听”能力。这意味着AccelEve能在不同型号的手机间扩展。
推荐阅读:
原产地欺诈?越南发布应对方案
进出口许可证与自动许可证有哪些不同？
茶水煮饭好处多[/vc_column_text][/vc_column][/vc_row]