想一想你的手机每天为你做了什么吧。计算你的步数?存入一笔钱?转录笔记?为你导航去一个新地点?
手机能成为这样多功能的口袋助手,是因为它们装了一套传感器。这些传感器的感知功能有些是我们从没想过甚至不知道的,比如感知光线、湿度、压力以及气温。
因为手机成了人们重要的小伙伴,所以那些传感器每时每刻可能也在和你亲密接触:汽车杯架上、你的书桌上、饭桌上以及床头柜上。如果你像绝大多数手机使用者一样,虽然你的手机可能黑着屏,但是设备是一直开机的。
图片来源:pixabay
“传感器正在占领我们生活的每一个角落。”英国纽卡斯尔大学的计算机科学家玛利亚姆·梅内兹德(Maryam Mehrnezhad)说。手机用它们机敏的观察力完成我们吩咐是件好事,但是手机所拥有的过多私人信息也让它们成为强大的潜在间谍。
在线应用商店Google Play已经发现了一些应用在滥用传感器访问功能。谷歌最近从安卓机和它的应用商店里踢掉了20个应用,因为这些应用可以在不告知用户的情况下记录麦克风语音、监控手机位置、拍摄照片然后提取数据。偷窃照片和盗录语音是明显侵犯隐私的行为。但是,即使是看似无害的传感器数据也可能将敏感信息外传。手机的移动可能泄露用户正在输入什么信息或处于什么位置。来自马来西亚国家能源大学的安全研究员艾哈迈德·阿勒-海奇(Ahmed Al-Haiqi)表示,即使气压计读数只是随着海拔升高而产生微小变化,也能暴露你位于建筑的第几层。
这些鬼鬼祟祟的入侵也许在现实生活中还没有发生,但是学界和产业界的相关研究者们正试图阻止未来入侵的出现。一些科学家设计了间谍应用并在志愿者身上进行测试,想看看手机究竟能泄漏多少主人的隐私。其他研究者正在建立新的手机安全系统,以保护用户免受各种各样现实和假想的隐私侵犯的行为,从偷窃PIN码到暗中跟踪。
1
信息泄漏
手机中的运动探测器,比如加速计和旋转感知陀螺仪,可能成为暗地收集手机数据的主要工具。它们不受访问许可的保护——手机使用者不需要授权,一个新安装的应用就能访问这些传感器。所以对于任何下载到手机上的应用来说,运动探测器都是名正言顺的囊中物。加州大学洛杉矶分校的工程师玛尼·斯里瓦斯塔瓦(Mani Srivastava)说,“这些传感器信号上包含着极多样的环境信息。”
举个例子,触碰手机屏幕的不同区域会让手机倾斜并有些许位移,而手机上的运动传感器可以识别这种方式。梅内兹德和他的同事在2017年4月的《国际信息安全杂志》(International Journal of Information Security)上发布了这一研究。这些传感器的数据用人类的眼睛看也许毫无意义,阿勒-海奇说,但是复杂的计算机程序可以在混乱中识别出各种模式,并将一块块运动数据和对不同按键区域的触碰匹配起来。
图片来源:pexels
大多数情况下,这些计算机程序都使用了机器学习的算法,阿勒-海奇说。研究者给这些程序提供大量运动传感器的数据,这些数据标记有特定运动造成的键盘触击信息,由此训练它们识别键盘敲击。一些研究者创建了一个叫做TouchLogger的应用,该应用可以收集方向传感器的数据并用这些数据来推测用户按了手机上哪些数字键。在2011年旧金山USENIX的关于安全热点的专题讨论会(USENIX Workshop on Hot Topics in Security)上,TouchLogger在HTC手机上进行了一次测试,对按键输入的推测正确率达到了百分之七十以上。
自那以后,科学家们编写推测各类手机上的数字以及字母按键的代码,做了许多类似的研究。在2016年《普适与移动计算》(Pervasive and Mobile Computing)期刊上,阿勒-海奇和他的同事对这些研究进行了评述,并总结道只有窥探者的想象力能限制运动数据转换为键盘输入字符。这些按键可以泄漏所有信息——从网上银行的登陆密码到一封邮件或者一条短信的内容。
一个更新的应用程序利用了包括陀螺仪、加速计、光传感器以及测量磁性的磁强计在内的一整套手机传感器来猜测PIN码。这个应用分析了一个手机的移动轨迹以及在这期间用户手指是如何遮住光传感器的。根据研究者发布在2017年12月在密码学预印本网站(Cryptology ePrint Archive)上的报告,在50个PIN码库的测试中,这个应用通过按键推测出的答案有99.5%的正确率。
其他研究者将运动数据与录音记录匹配,这可以挑出手指点击屏幕时发出的较轻的声音。一个研究小组设计了一款可以伪装成简单笔记工具的恶意软件。当用户使用该应用键盘的时候,这个应用会悄悄记录下键盘输入信息、键盘输入时麦克风和陀螺仪的数据,来学习每个按键的声音和移动感觉。
这款应用甚至能够在后台窃听用户在其他应用上输入的敏感信息。根据2014年美国计算机协会召开的无线与移动网络的安全隐私会议(Conference on Security and Privacy in Wireless and Mobile Networks)的记录,在三星和HTC手机上测试的时候,这个应用推测出的100个4位PIN码的正确率是94%。
不过阿勒-海奇指出,这个成功率主要是因为击键解码技术是在可控条件下运行的,解码算法假设用户会用一种特定的姿势握着手机或坐下来打字。这些数据抓取程序在更广的范围中运行的效果如何还有待观察。但是关于运动传感器或者其他传感器是否能成为侵犯隐私的新工具一事已经有了答案,阿勒-海奇说,“显而易见,它们可以。”
2
跟踪狂
运动传感器同样可以描绘出一个人旅途路线,比如一次地铁或公交行程。一次旅程产生的潜在移动数据和更短的、急速的运动——比如把手机从口袋里拿出来——有可分辨的不同。研究者设计了一款应用来从加速计记录中抓取不同地铁路线的数据标志,该研究发表在了2017年IEEE的《信息取证与安全事务》(Transactions on Information Forensics and Security)期刊上。
实验使用了三星手机,在中国南京的地铁上进行测验。这个追踪应用可以从辨认出使用者乘坐地铁的路线,当乘坐站数变多时,应用的推测准确率也相应提高。当乘车距离是三站、五站、七站的时候,与之对应的最低正确率是59%、81%和88%。有能力窥探用户地铁移动路线的人也许能知道用户的私人信息,比如用户的居住地点和工作地点、用户常去的商店或酒吧、日常行程。如果这个应用能追踪多人的话,窥探者甚至能知道用户会在哪些地点见哪些人。
加速计的数据同样可以窥探驾驶路线,而其他传感器则可以用于跟踪人们在有限空间内的运动:有一个团队同步了手机的麦克风和便携式扬声器,制造出一个动态声纳系统去描绘一个人在屋子里的移动轨迹。该研究发表在了2017年9月的美国计算机协会期刊(Proceedings of the ACM on Interactive, Mobile, Wearable and Ubiquitous Technologies)上。
“幸运的是,现实生活我们还没有看见类似传感器间谍技术的玩意儿。”迈阿密佛罗里达国际大学的电气与电子工程师塞尔丘克·乌迦克(Selcuk Uluagac)说,“但是这不代表我们不需要防御这个来自外界的明显威胁。”
之所以要保持警惕,是因为研究者用来收集传感器数据的算法变得越来越先进而且易于使用,梅内兹德说。研究者想要提醒大家的是,现在能设计出这种侵犯隐私程序的不只有那些有着好多个博士学位的人。即使是那些不了解机器学习算法内在工作原理的应用程序开发者,也可以轻而易举地利用网上的代码来制作窥嗅探传感器的程序。
而且,手机传感器不仅仅只是为那些兜售窃密软件的网络犯罪分子提供窥探隐私的机会。合法的应用程序通常会收集用户信息,比如搜索引擎和应用下载的记录,然后卖给广告商或其他第三方。而第三方可以利用这些信息了解用户生活的各个方面——那些用户不一定想要分享的方面。
拿健康保险公司举个例子。“你也许不想让他们知道你是一个懒人还是一个爱运动的人,”梅内兹德说,“运动传感器会记录你每天运动量是多少,他可以很容易分辨出你是哪一个类型的人。”
3
传感器防护措施
因为现在不可信的第三方从传感器数据里获得私密信息变得越来越容易,所以研究者想要找出方法,让人们能更好地掌控什么应用能获取设备上的信息。一些防护措施也许会以独立应用的形式出现,而其他的可能会以工具的形式通过未来手机系统的更新嵌入。
乌迦克和他的同事在2017年8月温哥华USENIX安全研讨会上提出创建一个叫第六感(6thSense)的系统。这个系统用来监视手机传感器的活动,在传感器有不寻常行为的时候提醒用户。用户训练这个系统来识别手机在进行日常活动比如打电话、浏览网页以及导航时的传感器行为。然后,第六感会持续检测手机传感器是否与有这些习得行为不一样的活动。
哪一天第六感识别出不寻常的举动——比如运动传感器在收集一个用户坐着或打字时的数据,第六感就会提醒用户。然后用户就可以检查是哪一个最近下载的应用做出了可疑行为,并且从手机中删掉这个应用。
乌迦克的团队最近在测试这个系统的原型:50位用户使用三星手机对第六感进行识别典型传感器活动的训练。研究者将来自日常活动中的无害数据样例和传感器恶意操作数据混合,然后让第六感挑出其中的问题数据,第六感的正确率超过了96%。
对于想要更主动的掌控自身数据的用户,可以选择IBM研究员萨普里约·查克拉博蒂(Supriyo Chakraborty)和他同事设计的DEEProtect系统。用户可以使用这一系统限定传感器数据的使用方式,让应用无法辨认出用户的具体活动。比如,一个人也许想用一款应用转录录音,但不想让应用辨认出说话者是谁。
DEEProtect截取应用获得的原始传感器数据,然后只将用户批准的那部分功能所需要的数据提供给应用程序。对于语音转录文字,手机通常需要声音频率信息和一个句子中特定词语相连的概率信息。
但是声音频率可以让一个间谍软件推测出说话者的身份。所以DEEProtect系统会将这项数据篡改后再交给应用,只让应用获得有关词序的信息——因为这部分与说话者的身份关联很小或者基本没有。用户可以控制DEEProtect对数据的修改程度,改得越多隐私泄露得就越少,但应用功能也会相应受到限制。
宾州州立大学(Penn State)的计算机科学家和工程师朱塞佩·彼得拉卡(Giuseppe Petracca)和他的同事使用了另一种方法来保护用户。他们使用一个叫做AWare的安全系统防止用户无意间允许欺诈性应用访问传感器。
恶意软件可能在不同请求时使用类似的图标来迷惑用户。图片来源:引用论文https://www.usenix.org/system/files/conference/usenixsecurity17/sec17-petracca.pdf
应用在初次安装或者初次使用像麦克风、相机这类特定传感器的时候必须得到用户的许可。但是用户可以很随意地慷慨甩给应用一堆许可,乌迦克说。“人们盲目授权,就像说‘嘿,你可以使用相机,你可以使用麦克风’一样。但是他们并不知道这些应用会如何使用传感器。”
相比在新应用安装时请求授权,AWare会在一个应用第一次使用某个特定传感器提供某个特定输入的时候发出请求,比如用户按下相机按钮的时候。不仅如此,AWare系统还能记住在用户初次给予应用权限时手机的状态——手机屏幕上的具体画面、请求的哪项传感器许可以及其他信息。通过这种方法,在之后应用想要欺骗用户获取访问许可时,AWare就可以提醒用户。
朱塞佩和他的同事用想象中的一个狡猾的数据盗取应用作为例子。这个应用会在用户第一次按下相机按钮的时候申请相机访问权限,但还会在用户第二次按下相机按钮时试图获取麦克风的访问权限。这时候AWare系统就会意识到在初次授权时,麦克风功能并没有包含在许可范围内,从而会再次询问用户是否要给予应用这个额外权限。该系统同样在2017年USENIX安全研讨会上进行了展示。
朱塞佩和同事发现,用户在使用装有AWare系统的Nexus手机时避免了93%的不必要授权,而使用典型条款即应用在首次安装或使用时请求许可的情况下,这一数字是9%。
4
隐私的代价
谷歌的安卓安全团队同样在努力减少应用收集传感器数据带来的隐私暴露风险。安卓系统安全工程师雷内·迈尔霍夫(Rene Mayrhofer)说,他和他的同事正在密切关注学术界最新的安全研究。
但是仅仅是某个人成功创建并测试了新手机安全系统的原型,并不意味着它会出现在将来的手机操作系统更新中。安卓并没有适配这些传感器防护措施,迈尔霍夫解释道,因为我们的安全团队还在寻找一种可以维持适当平衡的协议——既可以限制恶意应用又不会妨碍到可信用程序的运行。
“整个应用生态系统太大了,其中许多不同的应用程序的目的都是正当的。”他补充道。任意一种抑制应用程序使用传感器的新安全系统都可能毁掉那些合法的应用程序。
技术公司也许同样不情愿采取额外的安全措施,因为这些额外的保护措施可能会让用户体验变差,比如AWare的额外弹出请求。安全和便利之间存在一种内在的权衡关系,加州大学洛杉矶分校的斯里瓦斯塔瓦说。“你永远不可能拥有一个神奇的传感器防护盾,既能保护你的隐私又不影响使用体验。”
但是随着传感器变得普及和强大,分析数据的算法变得越发精明,就算是手机厂商最终也会承认目前的传感器保护措施需要改善。“这就像猫和老鼠,”阿勒-海奇说,“攻击手段变厉害,解决方案会改善。攻击手段变得更厉害,解决方案会再度改善。”
这场猫鼠游戏还将继续,查克拉博蒂同意这个观点,“我不认为在未来某一天,我们能简单地宣布这一场游戏的胜者然后结束比赛。”