手机传感器时刻伴随着人们。 毕竟,大多数人选择保持手机开机,即使手机已锁定。
从那时起,科学家们通过编写预测各种手机上的数字和字母按钮的代码进行了许多类似的研究。 在 2016 年出版的《无处不在和移动计算》杂志中,Al Hage 和他的同事回顾了这些研究。 击键可以泄露一切信息,从网上银行的密码到电子邮件或短信的内容。
较新的应用程序使用整套手机传感器来猜测 PIN,包括陀螺仪、加速计、光传感器和测量磁性的磁力计。 该应用程序分析手机的运动以及用户的手指在触摸屏幕时如何覆盖光传感器。 根据研究人员2017年12月发布的报告,在对50个PIN码库的测试中,应用程序通过按键猜测的答案正确率为99.5%。
跟踪者:运动传感器
我知道你去过哪里以及你可能见过谁。
运动传感器还可以绘制一个人的旅程地图,例如地铁或公共汽车旅行。 旅途中产生的潜在移动数据与较短的、不稳定的运动(例如从口袋里拿出手机)产生的潜在移动数据存在明显差异。 研究人员设计了一个应用程序来从加速度计记录中捕获不同地铁路线的数据签名。 该研究于2017年发表在IEEE《Information Forensics and Security Transactions》杂志上[1]。
该实验使用了三星手机,并在中国南京地铁上进行了测试。 该跟踪应用程序可以识别用户乘坐地铁的路线。 随着停靠次数的增加,应用程序的预测准确性也会相应提高。 当骑行距离为3站、5站、7站时,对应的最低准确率分别为59%、81%、88%。 有能力监视用户地铁移动路线的人可能能够了解用户的私人信息,例如用户的居住地和工作地点、用户常去的商店或酒吧以及日常行程。 如果该应用程序可以跟踪多人,窥探者甚至可以知道用户正在与谁会面以及在哪里会面。
正如 2012 年所述,加速计数据还可以窥探驾驶路线。其他传感器可用于跟踪人们在密闭空间内的运动:一个团队将手机麦克风与便携式扬声器同步,创建动态声纳系统,跟踪人周围的运动一个房间。 该团队的研究成果于2017年9月发表在《计算机协会杂志》上[2]。
保持警惕
这不仅仅是隐私被监视
传感器保护措施
让第三方软件远离私人信息
由于不受信任的第三方越来越容易从传感器数据中获取私人信息,因此研究人员希望找到方法来明确哪些应用程序正在访问其设备上的信息。 一些保护措施可能以独立应用程序的形式出现,或者以工具的形式出现,通过手机系统更新嵌入。
Ujiak 和他的同事于 2017 年 8 月在温哥华举行的 USENIX 安全研讨会上提议创建一个名为 6thSense 的系统。该系统用于监控手机传感器的活动,并在传感器表现异常时向用户发出警报。 用户训练系统在执行打电话、浏览网页和导航等日常活动时识别手机的传感器行为。 然后,第六感会持续检测手机传感器上与这些习得行为不一致的活动。
如果“第六感”在任何一天识别出异常行为(例如,运动传感器在用户坐着或打字时收集数据),“第六感”就会向用户发出警报。 然后,用户可以检查最近下载的应用程序的行为是否可疑,并从手机中删除该应用程序。
Ujiak 的团队最近测试了该系统的原型:50 位用户使用三星手机来训练第六感来识别典型的传感器活动。 研究人员将日常活动中的无害数据样本与恶意传感器操作数据混合在一起,然后要求第六感找出有问题的数据。 第六感的准确率超过了96%。
宾夕法尼亚州立大学计算机科学家兼工程师朱塞佩·佩特拉卡 (Giuseppe Petracca) 和他的同事使用了另一种方法来保护用户。 他们使用名为 AWare 的安全系统来防止用户无意中允许欺诈性应用程序访问传感器。
恶意软件可能会在不同的请求上使用类似的图标来迷惑用户。
应用程序在首次安装或使用某些传感器(例如麦克风和摄像头)时必须获得用户许可。 但用户很可能在不知道严重性的情况下,随意、盲目、慷慨地给应用程序一堆权限。
AWare 不是在安装新应用程序时请求授权,而是在应用程序第一次使用特定传感器提供特定输入时(例如当用户按下相机按钮时)发出请求。 不仅如此,AWare系统还可以记住用户首次授予应用程序权限时手机的状态——手机屏幕上的具体图片、请求了哪个传感器权限等信息。 这样,当应用程序稍后想要诱骗用户获取访问权限时,AWare 可以向用户发出警报。
朱塞佩和他的同事使用了一个狡猾的数据窃取应用程序的虚构示例。 该应用程序将在用户第一次按下相机按钮时请求相机访问权限,但也会在用户第二次按下相机按钮时尝试访问麦克风。 此时AWare系统会意识到初次授权时许可证中不包含麦克风功能,会再次询问用户是否给予应用程序这个额外的权限。 该系统还在 2017 年 USENIX 安全研讨会上进行了演示。
Giuseppe 及其同事发现,在使用带有 AWare 的 Nexus 手机时,用户避免了 93% 的不必要授权,而使用首次安装或使用应用程序时请求许可的典型术语时,这一比例为 9%。 %。
隐私保护困难重重
这是一场永远不会结束的游戏
谷歌的 Android 安全团队也在努力减少收集传感器数据的应用程序带来的隐私风险。 Android安全工程师Rene Mayrhofer表示,他和他的同事正在密切关注学术界的最新安全研究。
但仅仅因为有人成功创建并测试了新手机安全系统的原型,并不意味着它会出现在未来的手机操作系统更新中。 Meyerhoff 解释说,Android 并没有考虑到这些传感器保护,因为我们的安全团队仍在寻找一种能够保持适当平衡的协议,即限制恶意应用程序而不妨碍可信程序运行的能力。 。
一个人工智能
赶紧查一下自己和亲友手机上的APP授权……英语词典需要位置授权什么的就算了。 当您入住酒店房间时,您想因为记住单词而被记住吗?
