生活中我們熟知的手機傳感器有很多種,傳感器的作用是使我們在前臺操作的更加方便流暢。比如加速度計,又稱加速度傳感器,目前在智能手機上被廣泛地應用,可以通過測量手機在各個方向上的“應力”來得出加速度,像手機中的計步器、“搖一搖”等許多功能都基于這些傳感器來實現。
以往業界普遍認為加速度傳感器和個人隱私信息無關,因此在功能設置上,手機APP可以“無門檻”調用加速度計讀數或是獲取相應權限。
但是近日,在國際四大信息安全會議之一的“網絡與分布式系統安全會議”上,一項來自浙江大學、加拿大麥吉爾大學、多倫多大學學者團隊的研究成果顯示:部分智能手機APP可在用戶不知情且無需系統授權的情況下,利用手機內置的加速度傳感器來采集手機揚聲器所發出聲音的震動信號,實現對用戶語音的竊聽。
無獨有偶,早前,英國紐卡斯爾大學的一個安全研究團隊也發現了一種惡意JavaScript文件,能夠在用戶毫不知情的情況下在網站或App中悄悄進行加載,并通過各種手機傳感器來訪問并收集用戶手機中的數據,破解用戶的密碼或PIN碼。
因此,手機傳感器的安全隱患問題,我們必須重視起來!
一、手機上都有哪些傳感器?
智能手機在智能的道路上越走越遠,我們平日里用手機解決大部分的問題,上網、游戲、導航、支付等等,從中受益頗多。那么這些傳感器都肩負那些職責呢?
距離傳感器
距離傳感器通常安放在手機聽筒旁邊,用來檢測手機正面與其他物體的距離。如果距離達到一個閾值,就會自動關閉屏幕,一則省電,二則防止手機觸摸屏被誤操作。
通常距離傳感器在手機上會應用于兩個方面,一是打電話時,手機接近頭部就會自動滅屏,以防止耳朵或臉對觸摸屏進行了誤操作,而且通話中關閉屏幕也可以省電,手機從耳邊拿開又會自動亮屏;二是防止手機在口袋或包包里屏幕亮起出現誤操作現象,距離傳感器感應到近距離有物體,就會通知手機自動關閉屏幕。
光線傳感器
智能手機通常都有這樣一項設置--自動亮度調節,打開后手機會根據周圍光線的強弱自動調節手機屏幕亮度。在陽光明媚的室外,屏幕亮度會自動變大幫人在強光下看清屏幕;在昏暗的晚上,屏幕亮度就會自動變小,減少光線對眼睛的刺激,也可以順便省個電。光線傳感器就是用來感受周圍光線強弱以實現手機屏幕亮度的自動調節的。光線傳感器和距離傳感器很多時候會集成在一個位置,可以減少前面板的開洞,設計上更好看。
電子羅盤
說到羅盤,我們就會想到指南針,而電子羅盤,就是在手機中起指南針作用的。電子羅盤是利用地磁原理工作的,手機中的指南針不需要GPS也不需要網絡就可以指方向,它就是依靠電子羅盤來辨別方向的。而電子羅盤更實際的用處,是在地圖導航上面。當你打開地圖軟件,通過GPS定位后會發現有一個小箭頭,箭頭會在你移動的過程中指向移動的方向,這個可以直接感應方向的小箭頭就是電子羅盤控制的。有些手機沒有電子羅盤,定位后只會出現一個圓點,而沒有箭頭指方向。
重力傳感器
重力傳感器是用來檢測手機搖動、晃動、翻轉等動作的,比如當手機豎拿轉為橫拿,被重力感應器檢測到,然后指示屏幕從豎屏顯示變為橫屏顯示。重力傳感器常被應用于游戲上,有些賽車類游戲需要左右擺動手機來轉彎;有些過關類游戲需要晃動手機來使房頂上的鑰匙掉到地上,等等,這些都是依靠手機的重力傳感器來完成了。當然如今較為廣大人民熟知的一個依靠重力傳感器來實現的動作就是微信搖一搖!
VR技術日臻成熟,而對搭配VR設備使用的手機不可或缺的功能就是重力感應,在帶上VR眼鏡后,四面八方都有布景,要轉動身體來感受這個立體的世界,如果手機不支持重力感應的話,那么不管你怎么轉畫面恐怕也不會有變化的。
陀螺儀
陀螺儀是用來測量物體旋轉角度的,它可以輔助重力感應達到更好的游戲體驗;搭配電子羅盤和GPS使用可以得到更精準的導航體驗,GPS負責定位,電子羅盤負責辨別方向,而陀螺儀則可以檢測到細小的轉向,隨后就可以畫出一條比較精準的導航路線。理論上說,當使用GPS定位后,即使之后GPS信號減弱或消失,電子羅盤和陀螺儀也可以繼續通過手機的移動來畫出行駛路線。
霍爾傳感器
霍爾傳感器是手機屏幕上的元件,早先的翻蓋手機翻蓋亮屏,合蓋滅屏就是霍爾傳感器在工作。而到了現在的智能手機時代,霍爾傳感器依然有用武之地,那就是用來支持磁性翻蓋保護套的各種動作設置。磁性翻蓋手機套在合上蓋子和打開蓋子時,會有信號接近和遠離霍爾傳感器,感應器再傳遞出去控制手機亮屏和滅屏。
觸摸感應器
如今大部分智能手機使用的都是電容屏,反饋快、靈敏度高。人的皮膚屬于導體,在觸摸屏幕一個點時,會吸走一個小電流,這個小電流是從屏幕的四個角中流出的,于是通過計算四個角流出的小電流就能確定觸摸的位置了。所以使用指甲等其他物體并不能操控屏幕,而那些所謂的觸摸手套、觸控筆,就是選擇接觸屏幕時可以產生電容的材質做成的。
GPS傳感器
GPS衛星在不斷地發射導航電文,手機里內置的GPS模塊,可以接收導航電文,通過導航電文我們可以獲得衛星發射該導航電文時的時間和位置坐標。手機接收到該信號與衛星發射該信號時的時間差乘以光速,就可以得到該衛星與手機之間的距離。另外,《人民的名義》中我們看到祁同偉電話協助丁義珍逃跑后將手機卡沖進馬桶就是為了逃避基站定位。由于基站的位置是固定的,通過獲取當前手機卡接入的基站信息,就可以得到一個大概的位置。當手機信號接收范圍內的基站數量越多,分布越密集,能夠獲取到的位置信息也就越準確。但是由于基站定位時,信號很容易受到干擾,所以定位精度比較低,但優點是定位速度快,所以一般會與GPS結合使用,定位導航既快又準。
GPS定位和基站定位是較常用的兩種定位技術,除此之外還有WIFI定位、藍牙定位等,一般情況下手機會結合多種定位技術,從而更加快速、準確地獲取位置信息,而手機上的各類應用通過調用已獲取的位置信息,就可以根據你的位置提供各種服務了。
指紋傳感器
指紋解鎖、指紋支付想必我們大家都不陌生,由于人的指紋具有終身不變性和唯一性,且方便使用,因此指紋識別技術成為當今生物特征識別領域應用較廣泛的技術之一。目前手機中常用的指紋傳感器主要由兩種,一種是電容式指紋傳感器,一種是射頻式指紋傳感器。
電容式指紋傳感器中有無數個面積相同的半導體極板,當手指接觸電容式指紋傳感器時,手指表面與傳感器上的極板一一匹配便構成了無數個平板電容器。由于人的指紋凹凸不平,指紋與半導體表面之間的距離也不一樣。傳感器根據檢測到的不同接觸點的電容不同,就可以得到手指的指紋信息。iPhone使用的就是電容式指紋傳感器,這種模式需要手指與指紋識別模塊相接觸。
射頻式指紋傳感器分為無線電波探測和超聲波探測兩種,其中超聲波探測是目前的主流技術。超聲波在到達不同材質表面時,被吸收、穿透和反射的程度不同,也就是波阻抗不同。超聲波指紋傳感器會發出微量的射頻信號,根據信號在空氣和皮膚表面波阻抗的不同,我們就可以分別得到指紋凹陷和凸起的位置,從而得到指紋圖像。這種技術不需要手指與指紋識別模塊直接接觸,即便手指沾有水、油污或灰塵,也能較好地識別。小米5s采用的即是超聲波指紋傳感器,由于手機屏幕的厚度多在0.5mm左右,而超聲波指紋識別技術能夠穿透的玻璃厚度大概在0.3-0.4mm,所以小米5s在Home鍵位置挖了一個凹槽,來保證超聲波的穿透效果。然而由于這種技術的應用目前還不是很成熟,所以識別效果并不是很理想。
如今,很多指紋識別技術公司都在研發隱藏式指紋識別技術,未來不再將指紋識別模塊放置在Home鍵、機身左右側或背面,而是直接將其隱藏在觸摸屏板之下,這樣手機就可以實現全屏觸摸了。
加速度傳感器
手機計步少不了加速度傳感器。加速度傳感器主要測算一些瞬時加速或減速的運動,當我們拿著手機走動時,手機會隨著我們的身體在各個方向擺動,這時加速度傳感器就可以檢測出加速度在不同方向的變化,通過分析這種變化的特征及頻次,就可以計算出我們走了多少步。此外,加速度傳感器還能檢測手機是橫放還是豎放,從而進行橫屏顯示或者豎屏顯示。手機搖一搖、翻轉靜音、甩動切歌都離不開加速度傳感器。
溫度傳感器
相信有不少人的手機出現過天太冷被“凍”關機的情況,這就是手機里的溫度傳感器在起作用了,溫度傳感器能夠檢測手機部件的溫度高低,如果手機某一部件溫度過高或過低,手機就會自動關機,從而防止手機損壞。
二、如何通過手機傳感器進行隱私信息盜取?
下面將通過兩個事例講解不法分子如何通過手機傳感器進行隱私信息盜取。
例子1:利用通話時的手機震動實現竊聽
“加速度傳感器是目前智能手機中較常見的一種嵌入式傳感器,它主要用于探測手機本身的移動,常見的應用場景包括移動檢測,步數統計和游戲控制等。”浙江大學網絡空間安全學院院長、教授任奎告訴科技日報記者,它之所以能被用來監聽電話,主要是由于聲音信號是一種由震動產生的、可以通過介質傳播的聲波,手機揚聲器發出的聲音會引起手機的震動,而加速度傳感器可以靈敏地感知這些震動,因此攻擊者可以通過它來捕捉手機震動進而破解其中所包含的信息。
通過加速度傳感器竊聽語音的準確率有多高?“竊聽語音的準確率與具體的竊聽任務有關。根據我們的實驗結果,在關鍵字檢測任務中,這種竊聽攻擊識別用戶語音中所攜帶的關鍵字的平均準確率達到了90%。”任奎說,在實際攻擊中,攻擊者還可以結合上下文信息和實際語言中各個詞匯的使用頻率,進一步提升語音竊聽的準確率。
手機加速度計可以收集語音信息,這意味著攻擊者可以從用戶的手機中竊取多種隱私數據。“比如,攻擊者也許可以從語音信息中提取出用戶的家庭住址、信用卡信息、身份證號、用戶名密碼等一系列重要信息;通過竊聽手機地圖的語音導航系統,攻擊者也許能提取出一些跟位置有關的關鍵字,推斷出用戶目前的位置以及目的地;通過竊聽用戶手機播放的音樂和視頻,攻擊者可以推斷出用戶在這些方面的偏好。”任奎總結說,這種攻擊方式對用戶隱私安全具有很大威脅。
此外,任奎進一步強調,這種攻擊對場景并沒有特別的要求,無論手機用戶將手機放在桌子上還是拿在手中,“甚至邊使用手機邊走路,攻擊者都可以準確地識別出手機揚聲器所播放的語音信息。”
例子2:通過手機運動和方向傳感器等嗅探用戶密碼
一種惡意JS文件能夠在用戶毫不知情的情況下在網站或App中悄悄進行加載,當用戶使用智能手機訪問網站或App時,它就能夠在后臺通過各種手機傳感器來訪問并收集用戶手機中的數據,攻擊者將能夠利用這些收集到的數據來破解用戶的密碼或PIN碼。研究人員表示,這種惡意腳本能夠利用25種不同的傳感器來收集數據,在對這些收集到的數據進行整合之后,攻擊者將能夠推斷出目標用戶在手機上所輸入的內容。
根據Mozilla公司的公告,火狐瀏覽器已經從v46版本開始限制JavaScript腳本訪問手機的運動和方向傳感器。除此之外,蘋果公司也已經在iOS9.3的Safari瀏覽器中采取了類似的限制措施。但需要注意的是,目前Chrome瀏覽器仍然存在這一問題。
這種攻擊技術之所以能夠存在,主要是因為某些應用程序不會受到手機操作系統的權限限制,例如Web瀏覽器,而像這樣的App將能夠訪問手機所有的傳感器數據。根據目前智能手機內置的權限模型,當App需要訪問例如GPS、照相機或麥克風這樣的傳感器時,手機會要求用戶對相應操作賦權,但是當App訪問手機的加速計、陀螺儀、NFC和重力感應器的數據時,手機并不會向用戶發出權限請求。
由于硬件成本不高,這些傳感器正在成為現代智能手機的標配,但移動端操作系統更新升級的腳步卻沒有跟上,所以才導致了這一問題的出現。為了驗證這種攻擊,研究人員編寫了一個名叫PINlogger.js的JavaScript文件,這個文件能夠訪問這些不受系統權限控制的傳感器,并從中獲取傳感器的使用日志等數據。
如果用戶允許瀏覽器或者已被感染的App在手機后臺運行的話,那么當用戶在使用其他的App時,PINlogger.js腳本就會持續收集傳感器數據。此時,用戶在任何時候所輸入的PIN碼以及密碼都會被PINlogger.js記錄下來,而這些數據將會發送至攻擊者所控制的服務器。由于手機中配備的傳感器越來越多,所以攻擊者可以收集到的數據量也就會更大,這也將導致攻擊者破解用戶輸入內容的成功率就會更高。
該研究團隊的SiamakShahandashti博士表示:“這就好比是在玩拼圖一樣,你所得到的信息越多,你就能夠越快拼出完整的圖。”研究人員還表示,他們所訓練的人工智能網絡可以僅僅通過監聽手機運動和方向傳感器的數據流(這種數據無需特殊的訪問權限)來破解用戶的密碼。據了解,他們總共對50多臺用戶設備進行了測試,而在他們的首次測試中,四位數字PIN碼的破解成功率竟高達74%。在對神經網絡進行了進一步訓練之后,第二次和第三次測試的成功率相應增長到了86%和94%。除此之外,研究人員也對破解算法進行了升級,現在已經能夠處理字母和數字混合的密碼了。
根據研究人員透露的信息,他們這項研究的目的是為了提高廠商和用戶對智能手機傳感器訪問權限的關注度,因為目前的移動操作系統廠商還沒有建立標準的權限控制模型來管理智能手機傳感器的訪問權限。
三、“傳感器數據”亟待重新審視
據了解,現行的法律法規對個人敏感信息的保護,主要是針對證件號碼、金融賬戶等具體的個人敏感信息。由于加速計數據本身并不屬于個人敏感信息,攻擊者可以利用計步軟件等必須用到加速計的APP“合理”地對加速計數據進行收集,因此采集加速計數據這種行為本身并不違法。這就意味著,這種攻擊方式目前仍處于法律法規的灰色地帶。
“但使用或販賣分析出的個人敏感信息應該是違法的。”浙江大學網絡空間安全學院院長、教授任奎說。
為有效防御此類攻擊,任奎建議,首先應該從技術層面加大對移動設備物理層安全的研究投入,了解各類傳感器的實際數據采集能力以及它們可能造成的隱私問題,對可能存在的各類攻擊做到心中有數。然后依此重新設計智能手機操作系統中各類傳感器的權限使用機制,從技術的角度盡可能地降低數據被濫用的可能性。
此外,任奎還補充道:“我們應當從法律法規上細化對敏感信息的定義和使用規范。除了對證件號碼、銀行賬戶、通信記錄和內容等具體的個人敏感信息進行保護外,還應對可能包含這些信息的原始傳感器數據進行保護,規范和限制這類數據的采集和使用方式。”
那么作為普通消費者,我們目前有機會防止自己的手機被竊聽嗎?在任奎看來,各大手機廠商提出進一步解決方案之前,消費者能夠采取的較有效也便捷的防御方式,就是通過耳機來接聽電話或語音信息。手機中的加速計與耳機間存在著物理隔離,使其無法監測到耳機發出的震動,所以通過耳機播放的聲音是不會被這種攻擊竊聽的。
結語:
除了以上各種傳感器,還有氣壓傳感器等,有些手機甚至還有心率傳感器、有害輻射傳感器、血氧傳感器等,形形色色的傳感器賦予了手機豐富多樣的功能。可以說傳感器就像手機的神經一樣,能夠感受周圍環境的變化以及人的操作,涉及到我們生活的方方面面,所以傳感器的安全不能忽視,需謹慎對待。
轉載請注明出處:傳感器應用_儀表儀器應用_電子元器件產品 – 工采資訊 http://www.iohhome.com/12896.html
