■本报记者 袁一雪
智能手机的功能包罗万象,几乎已经成为人们生活不可分割的一部分:导航仪、运动量和运动轨迹记录仪、查询地点与美食的帮手……实现这些功能的是安装在手机中的传感器。通过感知手机的位置和状态的变化,传感器也记录着手机使用者的一切信息。
这虽然提升了使用者的体验感受,却埋下了危险的种子。
2017年12月,密码学预印本网站公布了一项研究报告,显示某个应用程序利用了包括陀螺仪、加速计、光传感器以及测量磁性的磁强计在内的一整套手机传感器来猜测代码识别码(PIN码)。通过对50个PIN码的测试,研究人员发现,这个应用通过按键推测出的答案有99.5%的正确率。
不知不觉隐私被盗
国内也并不是风平浪静。
我国国家移动应用安全管理中心的数据显示,2016年我国手机用户感染恶意程序超过2.5亿,平均每天恶意程序感染量超过70万人次。2017年上半年感染量依然高居不下,超过1.1亿,进入平稳高发期。恶意程序主要是资费消耗,其次是恶意扣费、隐私窃取,严重威胁广大手机用户的切身利益。
谷歌公司甚至因为安全隐患而下架了几十种应用。只因这些应用可以在不告知用户的情况下记录麦克风语音、监控手机位置、拍摄照片然后提取数据。而偷窃照片和盗录语音是明显侵犯隐私的行为。但即使是看似无害的传感器数据也可能将敏感信息外传,比如手机的移动可能泄露用户正在输入什么信息或处于什么位置。
对此,中科院计算技术研究所副研究员翟立东在接受《中国科学报》记者采访时解释说,手机应用窃取隐私的问题要分两个方面看。一方面手机中的加速计、陀螺仪可以提供GPS定位等导航服务,同时也可以支持手机中的体感游戏,“这一功能带给使用者更好的手机体验。但同时,一些应用需要读取这些数据,以提供更贴心和人性化的服务”。翟立东表示。比如一些美食的App,通过获取使用者的位置而推荐附近的餐馆或商场。“用户的确可以选择拒绝这些App读取传感器信息,但这样会让体验大打折扣。”翟立东补充道,“所以,我们在感受方便的同时也要承担一定的风险。”
哪些信息可能被泄露
因为手机传感器包含信息种类繁多,如果想要窃取其中的信息并不困难。
2017年,《信息取证与安全事务》期刊上就刊登了一项“关于运动传感器可以描绘出一个人旅途”的研究。研究者设计了一款应用,可以辨认出使用者乘坐地铁的路线。因为这款应用可以从加速计记录中抓取不同路线的数据标识,进而分析出使用者乘坐的线路甚至站数。如果这个应用能追踪多人的话,窥探者甚至能知道用户会在哪些地点见哪些人。不仅如此,通过数据,研究人员也能推测出一个人在屋里移动的轨迹。
除了恶意获取,一些合法的App在后台也会收集用户信息,然后卖给第三方,让他们更精确地获取用户的需求。
“信息是我们日常交流必须依靠的载体,当然什么样的信息会成为安全隐患,这个是相对而言的,就好比一把菜刀,在厨师手中会是得力的工具,但在歹徒手中就是一件凶器。”翟立东表示。
新功能更要注重安全性
随着技术的不断升级,收集传感器数据的算法变得越来越先进而且使用门槛低,甚至有研究人员表示,不了解机器学习算法内在工作原理的应用程序开发者,也可以轻而易举地利用网上的代码来制作窥嗅探传感器的程序。
翟立东带领团队也一直致力于网络安全的研究中。“根据在研究中发现的问题,提些专业的建议,比如说手机中的陌生短信链接不要随意点开。”
最近,翟立东团队的一项研究显示,时下风头正劲的NFC功能存在极大的安全隐患。“安卓手机用户点击我们发送的链接,可以将手机支付宝中的钱刷走;建议手机在日常生活中把NFC功能关掉,有些不法分子会根据NFC功能盗刷绑定的信用卡,这些我们都是在日常展示或研究中可以做到的。”
《中国科学报》 (2018-03-09 第8版 生活)