经常有网友发帖说XX APP监听隐私对话的事:和家人聊天谈到了某某商品,之后上XX ,就会自动推荐讨论过的商品的内容。
因此稍微有点隐私意识的都会尽量不给APP读取麦克风的权限。但不给麦克风、相机、位置权限就足够了吗?
答案是肯定不够,例如各种APP的“摇一摇”后跳转广告主要依赖陀螺仪、加速度等传感器。
arxiv.org最近发布了一篇《Glitch in Time: Exploiting Temporal Misalignment of IMU For Eavesdropping》的论文,大致意思:
智能手机中的陀螺仪和加速计等惯性测量单元(IMU),可以通过检测声波振动监听对话。这意味着,即使是一个没有开启麦克风权限的应用程序也可以通过IMU获得对话内容。
为了不让攻击者获得准确信息,谷歌将安卓应用程序从IMU采样数据的频率限制在每秒200次,使攻击者无法准确获得对话内容。
而巴基斯坦拉合尔管理科学大学的Ahmed Najeeb和同事却发现了一个漏洞——通过欺骗陀螺仪和运动传感器在时间上稍微偏移地进行测量,将应用程序实际采样率从每秒200次提高到400次,可以突破上述保护措施。
Najeeb等人在预印本平台arXiv上公布的研究指出,利用这种方法,攻击者能修复获得的音频量大大提升。与每秒仅采集200个样本相比,他们的方法在人工智能转录时单词错误率降低了83%。这表明,目前的安全保护措施“不足以防止复杂的窃听攻击发生”,应该对其重新评估。
对于Najeeb等人发现的上述问题,谷歌尚未作出回应。而对于包含IMU的苹果手机,研究人员没分析它们是否会受到同样的影响。
英国萨里大学的Alan Woodward表示,应该修复这个漏洞,但Najeeb等人发现的这个突破保护的方法在现实世界中的使用可能有限,因为得破坏手机才能接触到其中的单元。而且在同样破坏手机的情况下,有比这更容易的监听方法。
来源:
也有网友评论:
在Android 10以上版本,可以通过 Sensor Off 设置,一键关闭掉传感器:
开发者选项(Developer options)->快捷设置开发者磁贴(Quick settings developer tiles)->传感器已关闭(Sensor Off)
怎样打开开发者模式,请参考各自手机设置。
需要强调一下:关闭传感器,可能会影响某些APP的正常功能。
在iOS上,不能直接关闭陀螺仪、加速度传感器,好在Apple在App Store上架时候对相关APP的调用权限有严格限制。
除了传感器、麦克风、相机等存在隐私泄露问题,互联网时代隐私泄露无处不再。
汇总一下一些不错的关于隐私保护的资源。
Privacy Guides:https://www.privacyguides.org/
Digital Defense:https://digital-defense.io/
The New Oil :https://thenewoil.org/
No Trace :https://www.notrace.how/
The Hitchhiker’s Guide :https://anonymousplanet.org/
Awesome Privacy系列:
https://pluja.github.io/awesome-privacy/
以上资源基本上包络了关于隐私的相关资源,也很实用,但对于追求快餐消费的普通用户,可能没兴趣仔细研究这些内容。
推荐一个实用的教程项目:
Privacy Settings:https://github.com/StellarSand/privacy-settings
对一些常用软件的隐私设置做了单独的说明,很实用。