加速度窃听声音——物联网中的个人隐私安全

加速度窃听声音——物联网中的个人隐私安全

​ 本次的新生研讨课上，老师给我们介绍了语音信息，图像信息和AI可能蕴含的安全隐患，激起了我对于信息安全领域的兴趣与关注，新技术的发展必然带来更多安全隐患。在一篇新闻上，我得知手机app也许悄无声息的窃听我们的隐私，进一步调研却发现了声音的窃听并不需要麦克风，加速度传感器也可以实现这个效果。

1. 手机APP窃听现状

​ 我们每个人好像都曾遇到过这样的情况：刚刚和朋友讨论了什么，打开手机某App就蹦出了它的广告推荐。更加吊诡的是，当你打开手机设置，想要关闭某些App的麦克风权限时，却赫然发现这个App根本没有这一权限。没有授权麦克风，“偷听”究竟是如何实现的？

2. 加速器“窃听”扬声器

​ 当用户A正在使用智能手机公开播放一段微信语音，而用户B在使用智能手机拨打电话时，二人的手机上同时下载了一个记载用户步数App，他们的信息就会被提取与重现。

语音信息就可能被攻击者利用手机里的扬声器和加速器距离识别并还原成声音信号。这是浙江大学网络空间安全学院任奎团队、加拿大麦吉尔大学、多伦多大学学者团队展示一项最新的研究成果

3. 基本原理

（1）硬件

​ 加速度传感器是当前智能手机中常见的一种能够测量加速度的传感器，通常由质量块、阻尼器、弹性元件、敏感元件和适调电路等部分组成。Android和iOS开发者文档中都提供加速度传感器的调用方法，在日常手机应用中，加速度传感器通常被用户测速、记录步数等。

重要的一点是，测量步数等与之相关的App实际上无需获得用户授权就可以获得智能手机的加速度信息。然而由于手机中的扬声器和加速度传感器距离十分接近且都安装在同一块主板上，扬声器在播放声音时所产生的震动可以显著地影响手机中加速器的读数。攻击者可以通过加速度传感器来收集手机发声所引起的震动信号，进而识别甚至还原手机所播放的声音信号。

（2）软件

​ 通过深度学习算法，将加速度传感器获得的信号还原回声音信号，甚至直接提取其中的有效信息 如数字（银行卡密码，身份证信息），家庭地址….

根据这项研究论文中的结果，即使是在嘈杂的环境中（例如有人说话的实验室或播放音乐的酒吧），模型也可以达到80%以上的准确率。

4. 防御思路

（1）

​ 由于加速度传感器无需系统授权，可以直接获取信息，所以第一张思路是当App以高频率在后台收集传感器数据时，需要首先经过用户允许，或显式通知用户。但这种解决方案将会严重影响到所有需调用加速度器的App运行，导致大规模的系统更新与App软件升级。

（2）

第二种是通过修改硬件设计，使用物理隔离的方法，让各类传感器难以采集到扬声器声音的震动信号，从而彻底防御这一类攻击。

（3）

由于普通人类语音的最低基频为85Hz，第三种有效方案是限制传感器的采样频率。

根据他们的研究，当传感器采用频率低于170Hz时，将不能再现85Hz以上的频率分量，识别准确率会下降。