中國消費者報報道(記者武曉莉) 9月12日晚,記者與人聊天時,,說到了畢業(yè)后去高校就業(yè)的話題。過了一會兒,,對方的小紅書上就被推薦了“去高校工作的利與弊”的文章,。他并不吃驚地對記者說:“我的手機(jī)肯定是被偷聽了?剛說完就推薦了,這種情況已經(jīng)不是第一次了,。”
偷聽,、自啟動,、剪切板讀取……在今年的國家網(wǎng)絡(luò)安全宣傳周上,中國電子技術(shù)標(biāo)準(zhǔn)化研究院信息安全研究中心審查部總監(jiān)何延哲對記者表示:“老百姓舉報的問題越來越專業(yè),,雖然對我們的工作來說是一種挑戰(zhàn),,但這種挑戰(zhàn)讓我們覺得很欣慰,這是非??上驳?。”
此前,國家市場監(jiān)督管理總局,、中央網(wǎng)絡(luò)信息化辦公室,、工業(yè)和信息化部、公安部等部門聯(lián)合開展APP違法違規(guī)收集使用個人信息專項治理,。隨著治理工作的深入,,APP偷聽等話題也開始引發(fā)熱議。
對于普通用戶來說,,他們非常想了解使用APP到底可不可能被偷聽,。日前,APP專項治理工作組的專家首次從技術(shù)層面對此進(jìn)行了全面的解讀,。
最新版安卓和蘋果系統(tǒng)無法偷聽
感覺自己被偷聽已經(jīng)不是一個新鮮話題了,。針對網(wǎng)友對APP存在偷聽日常談話的質(zhì)疑,全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會,、中國消費者協(xié)會,、中國互聯(lián)網(wǎng)協(xié)會、中國網(wǎng)絡(luò)空間安全協(xié)會成立APP專項治理工作組,,組織專家從偷聽的可行性,、性價比等方面進(jìn)行了探討,以幫助消費者切實有效地提升個人信息保護(hù)意識和能力,。
APP專項治理工作組專家鄧舒認(rèn)為,,APP要實現(xiàn)偷聽有三種方式:靜默狀態(tài)錄音,、側(cè)信道還原和突破系統(tǒng)權(quán)限,。
靜默錄音是指APP在不通知用戶的情況下,通過移動終端系統(tǒng)提供的錄音功能實現(xiàn)后臺靜默錄音,,從而達(dá)到偷聽目的,。消費者感覺最多的也是這種情況,即用戶授權(quán)APP使用錄音權(quán)限后可能出現(xiàn)的情況,。
但鄧舒指出,,最新的安卓和蘋果手機(jī)操作系統(tǒng)都已經(jīng)從系統(tǒng)層面對在用戶無感情況下實現(xiàn)偷聽采取了限制機(jī)制,因此APP進(jìn)行隱蔽偷聽是很困難的,。限制后,,Android9及以上版本手機(jī)里的APP,,在后臺運行時無法訪問麥克風(fēng)。只有打開前臺應(yīng)用或通過前臺服務(wù),,才能進(jìn)行錄音,,而這兩種方式都會在手機(jī)屏幕上有足夠的提示,用戶都會感知到,。
鄧舒還指出,,Android9以下版本的手機(jī)由于沒有限制機(jī)制,APP是可以使用麥克風(fēng)偷聽的,。因此,,用戶應(yīng)更新安卓操作系統(tǒng)到最新版本。
相比安卓系統(tǒng),,蘋果iOS系統(tǒng)本身就對獲取用戶隱私數(shù)據(jù)做了足夠的限制,,因此從系統(tǒng)層面避免了惡意偷聽的可能性。蘋果手機(jī)的APP申請后臺錄音等操作時,,必須經(jīng)過用戶授權(quán),。即便授權(quán)后,APP第一次錄音或后臺錄音超過8分鐘時,,系統(tǒng)也會彈窗提示用戶,。而蘋果官方要求APP開發(fā)者在開發(fā)過程中就要申明權(quán)限。
記者發(fā)現(xiàn),,在蘋果手機(jī)上,,有“播放/暫停”按鈕的APP,如果要調(diào)用錄音功能,,必須通過界面才能啟動,,無法從后臺操作。
側(cè)信道還原偷聽正確率高達(dá)90%
還有一種偷聽方式并不是直接偷取語音,。鄧舒指出,,側(cè)信道技術(shù)還原是指在用戶不知情的情況下,通過手機(jī)中的其他傳感器來獲取數(shù)據(jù),,再利用深度學(xué)習(xí)等技術(shù),,將數(shù)據(jù)恢復(fù)成語音數(shù)據(jù)。今年,,浙江大學(xué),、多倫多大學(xué)、麥吉爾大學(xué)團(tuán)隊共同發(fā)表了一項關(guān)于手機(jī)竊聽的研究成果:APP可以在用戶毫不知情的情況下,,利用智能手機(jī)內(nèi)置的加速度計傳感器竊聽,,理論上的識別正確率高達(dá)90%。
這就是最近比較熱門的名為“加速度計偷聽”攻擊方式,,即基于深度學(xué)習(xí)加速度傳感器信號的新型“側(cè)信道偷聽”攻擊,。原理是利用揚聲器發(fā)出的聲音震動信號,、加速器數(shù)據(jù),轉(zhuǎn)換為語音的工作流,。鄧舒指出,,加速度計等傳感器并不受操作系統(tǒng)的權(quán)限控制,且任何APP都可申請使用,,因此是可實現(xiàn)的偷聽方式,。但由于這種技術(shù)門檻高,需要深度學(xué)習(xí)模型的建立,、訓(xùn)練以及排除環(huán)境干擾因素影響等,,因此在非實驗室環(huán)境下很難被有效使用。也就是說,,盡管是可行的,,但用戶也不必過于擔(dān)心。
突破系統(tǒng)權(quán)限實現(xiàn)偷聽確有可能
在網(wǎng)絡(luò)上,,可以找到宣稱能夠提供電話監(jiān)聽,、環(huán)境監(jiān)聽、電話呼叫與VoIP錄音等“間諜”功能的APP,。鄧舒以一款國外的APP為例,,說明有些APP可以在非越獄的安卓手機(jī)和越獄后的蘋果手機(jī)中安裝,達(dá)到偷聽的目的,。
鄧舒指出,,這類APP主要是通過突破手機(jī)操作系統(tǒng)限制,繞開系統(tǒng)提供的函數(shù),,直接調(diào)用硬件功能,,以實現(xiàn)錄音、拍照等目的,。要做到這一點需要兩個條件:一是手機(jī)廠商對APP開放特殊權(quán)限;二是利用系統(tǒng)漏洞,、安裝惡意程序等方式。但無論哪種方式,,難度及成本都非常高,。
而“間諜”APP的售賣和運營都屬于違法行為,APP開發(fā)者,、運營者,、使用者都將面臨被追究法律責(zé)任的巨大風(fēng)險。
鄧舒認(rèn)為,,偷聽雖然在技術(shù)上有可行性,但技術(shù)門檻,、商業(yè)成本和法律風(fēng)險都很高,,因此,,如果只是基于廣告營銷、定向推送等日常運營的目的,,APP運營者基本不會去做,。
鄧舒指出,用戶之所以常常會有被偷聽的感覺,,大概率是諸如“大數(shù)據(jù)畫像”“標(biāo)簽共享”“精準(zhǔn)推送”等技術(shù)導(dǎo)致的結(jié)果,。但偷聽的風(fēng)險依然存在,還有未知的技術(shù)和機(jī)制需要進(jìn)一步研究,。
多種方式有效防止智能手機(jī)偷聽
偷聽即便是極小概率事件,,也是用戶非常擔(dān)心的重大隱私保護(hù)問題。因此,,鄧舒建議用戶采取措施,,有效防止偷聽。一是更新手機(jī)操作系統(tǒng)到最新版本;二是如非必要,,不授權(quán)長期開啟麥克風(fēng),、攝像頭等權(quán)限,可選擇采取一次一授權(quán)等方式;三是通過手機(jī)操作系統(tǒng)的權(quán)限管理等功能一次性關(guān)閉麥克風(fēng),、攝像頭等權(quán)限,,如APP在合理的場景下需要開啟時再單獨授權(quán);四是如果APP強(qiáng)制要求開啟“麥克風(fēng)、攝像頭”等權(quán)限,,否則不讓使用瀏覽等基本功能,,或不讓使用與上述權(quán)限無關(guān)的其他功能,則不要使用該APP,,還可向“APP個人信息舉報”公眾號進(jìn)行舉報,。
對于智能手機(jī)操作系統(tǒng)開發(fā)商和手機(jī)廠商來說,一是要進(jìn)一步完善透明化機(jī)制,,防止惡意APP在用戶不知情時濫用系統(tǒng)權(quán)限;二是完善手機(jī)軟硬件安全機(jī)制設(shè)計,,提升系統(tǒng)安全性和缺陷利用難度(如側(cè)信道),避免被惡意利用;三是主動跟蹤關(guān)注系統(tǒng)漏洞信息,,及時發(fā)布安全補(bǔ)丁,,并提醒用戶更新。
談及偷聽,、自啟動等曾被網(wǎng)友熱議的問題,,何延哲表示,近些年,,通過網(wǎng)絡(luò)安全宣傳周等活動的宣傳科普,,老百姓的舉報越來越專業(yè),這也順應(yīng)了“網(wǎng)絡(luò)安全靠人民”的國家網(wǎng)絡(luò)安全周的主題,。
官方微信公眾號
官方微博
