手机太能干了:计算你每天走了多少步,帮你导航,成为你的转账工具……这是因为它们装了一套传感器。手机传感器的功能,有些曾被我们忽略了,比如感知光线、湿度、压力以及气温。手机传感器每时每刻都在与人为伴,毕竟绝大多数人选择一直开机,即使手机锁着屏。手机用它们机敏的“观察力”完成我们吩咐,是件好事,但是手机拥有的过多私人信息,也让它们成为强大的潜在间谍。
看似无害的数据,比如气压计读数的微小变化,也能暴露你的海拔,即位于建筑的第几层。也许,这些鬼鬼祟祟的入侵还没有发生在你的生活里。但是,学界和产业界的相关研究者们,已经开始正试图阻止入侵的出现。
手机中的运动探测器,比如加速计和旋转感知陀螺仪,可能成为暗地收集手机数据的主要工具。它们不受访问许可的保护。也就是说,一个刚安上的应用,不需要得到手机使用者的授权,就能访问这些传感器。加州大学洛杉矶分校的工程师玛尼·斯里瓦斯塔瓦说,“这些传感器信号上包含着极多样的环境信息。”
举个例子,触碰手机屏幕的不同区域,会让手机倾斜并有些许位移,而手机上的运动传感器可以识别这种方式。
这些传感器的数据用人类的眼睛看也许毫无意义,但复杂的计算机程序可以在混乱中识别出各种模式,并将一块块运动数据和对不同按键区域的触碰匹配起来。大多数情况下,这些计算机程序都使用了机器学习的算法,阿勒·海奇说。研究者给这些程序提供大量运动传感器的数据,这些数据标记有特定运动造成的键盘触击信息,由此训练它们识别键盘敲击。
一些研究者创建了一个叫做TouchLogger的应用,该应用可以收集方向传感器的数据并用这些数据来推测用户按了手机上哪些数字键。在2011年旧金山USENIX的关于安全热点的专题讨论会上,TouchLogger在HTC手机上进行了一次测试,对按键输入的推测正确率达到了70%以上。自那以后,科学家们编写推测各类手机上的数字以及字母按键的代码,做了许多类似的研究。
按键可以泄漏所有信息——从网上银行的登陆密码,到一封邮件,或者一条短信的内容。一个更新的应用程序利用了一整套手机传感器,来猜PIN码,包括陀螺仪、加速计、光传感器以及测量磁性的磁强计在内的。这个应用分析的是手机的移动轨迹,以及在触屏时用户手指是如何遮住光传感器的。根据研究者2017年12月发布的报告,在50个PIN码库的测试中,这个应用通过按键推测出的答案有99.5%正确。
其他研究者有匹配运动数据与录音记录的,这可以挑出手指点击屏幕时发出的较轻的声音。一个研究小组设计了一款可以伪装成简单笔记工具的恶意软件。当用户使用该应用键盘的时候,这个应用会悄悄记录下键盘输入信息、键盘输入时麦克风和陀螺仪的数据,来学习每个按键的声音和移动感觉。这款应用甚至能够在后台窃听用户在其他应用上输入的敏感信息。
不过阿勒·海奇指出,这个成功率这么高,主要是因为击键解码技术是在可控条件下运行的。它假设的大前提是,用户会用一种特定的姿势握着手机或坐下来打字。如果在更广的范围中呢?效果还有待观察。但是,运动传感器或者其他传感器是否能成为侵犯隐私的新工具?——显而易见,它们可以。
运动传感器同样可以描绘出一个人旅途,比如一次地铁或公交行程。
一次旅程产生的潜在移动数据和更短的、急速的运动——比如把手机从口袋里拿出来——有可分辨的不同。研究者设计了一款应用,从加速计记录中抓取不同地铁路线的数据标志,该研究发表在了2017年IEEE的《信息取证与安全事务》期刊上。实验使用了三星手机,在中国南京的地铁上进行测验。这个追踪应用可以从辨认出使用者乘坐地铁的路线,当乘坐站数变多时,应用的推测准确率也相应提高。
之所以要保持警惕,是因为研究者用来收集传感器数据的算法变得越来越先进而且使用门槛低,梅内兹德说。研究者想要提醒大家的是,现在能设计出这种侵犯隐私程序的不只有那些有着好多个博士学位的人。即使是那些不了解机器学习算法内在工作原理的应用程序开发者,也可以轻而易举地利用网上的代码来制作窥嗅探传感器的程序。
而且,手机传感器不仅仅只是为那些兜售窃密软件的网络犯罪分子提供窥探隐私的机会。合法的应用程序通常会收集用户信息,比如搜索引擎和应用下载的记录,然后卖给广告商或其他第三方。而第三方可以利用这些信息了解用户生活的各个方面——那些用户不一定想要分享的方面。
因为现在,不可信的第三方从传感器数据里获得私密信息变得越来越容易,所以研究者想要找出方法,让人们能清楚地知道,什么应用能获取设备上的信息。一些防护措施可能会以独立应用的形式出现,或者以工具的形式,通过手机系统更新嵌入。
乌迦克和他的同事在2017年8月温哥华USENIX安全研讨会上提出创建一个叫第六感(6thSense)的系统。这个系统用来监视手机传感器的活动,在传感器有不寻常行为的时候提醒用户。用户训练这个系统来识别手机在进行日常活动比如打电话、浏览网页以及导航时的传感器行为。然后,第六感会持续检测手机传感器是否与有这些习得行为不一样的活动。
对于想要更主动的掌控自身数据的用户,萨普里约·查克拉博蒂和他的同事设计了DEEProtect系统。萨普里约是一位隐私与安全研究员,在IBM公司位于纽约约克高地的研究中心工作。他和同事设计的这款系统可以让应用无法根据传感器数据辨认出用户的具体活动。用户可以使用这一系统限定应用的传感器数据使用方式。
宾州州立大学的计算机科学家和工程师朱塞佩·彼得拉卡和他的同事使用了另一种方法来保护用户。他们使用一个叫做AWare的安全系统防止用户无意间允许欺诈性应用访问传感器。应用在初次安装或者初次使用像麦克风、相机这类特定传感器的时候必须得到用户的许可。但是用户很可能随意、盲目、慷慨地甩给应用一堆许可,他们并不知道严重性。
谷歌的安卓安全团队同样在努力减少应用收集传感器数据带来的隐私暴露风险。
安卓系统安全工程师雷内·迈尔霍夫说,他和他的同事正在密切关注学术界最新的安全研究。但是仅仅是某个人成功创建并测试了新手机安全系统的原型,并不意味着它会出现在将来的手机操作系统更新中。安卓并没有适配这些传感器防护措施,迈尔霍夫解释道,因为我们的安全团队还在寻找一种可以维持适当平衡的协议——既可以限制恶意应用又不会妨碍到可信用程序的运行。
但是随着传感器变得普及和强大,分析数据的算法变得越发精明,就算是手机厂商最终也会承认目前的传感器保护措施需要改善。“这就像猫和老鼠,”阿勒·海奇说,“攻击手段变厉害,解决方案会改善。攻击手段变得更厉害,解决方案会再度改善。”这场猫鼠游戏还将继续,查克拉博蒂同意这个观点,“我不认为在未来某一天,我们能简单地宣布这一场游戏的胜者然后结束比赛。”