口袋間諜：手機怎樣監控你的生活？

（錦衣Reload/譯，vicko238、Ent/校）想一想你的手機每天為你做了什麼吧。計算你的步數？存入一筆錢？轉錄筆記？為你導航去一個新地點？

手機能成為這樣多功能的口袋助手，是因為它們裝了一套感測器。這些感測器的感知功能有些是我們從沒想過甚至不知道的，比如感知光線、濕度、壓力以及氣溫。

因為手機成了人們重要的小夥伴，所以那些感測器每時每刻可能也在和你親密接觸：汽車杯架上、你的書桌上、飯桌上以及床頭柜上。如果你像絕大多數手機使用者一樣，雖然你的手機可能黑著屏，但是設備是一直開機的。

圖片來源：pixabay

「感測器正在佔領我們生活的每一個角落。」英國紐卡斯爾大學的計算機科學家瑪利亞姆·梅內茲德（Maryam Mehrnezhad）說。手機用它們機敏的觀察力完成我們吩咐是件好事，但是手機所擁有的過多私人信息也讓它們成為強大的潛在間諜。

在線應用商店Google Play已經發現了一些應用在濫用感測器訪問功能。谷歌最近從安卓機和它的應用商店裡踢掉了20個應用，因為這些應用可以在不告知用戶的情況下記錄麥克風語音、監控手機位置、拍攝照片然後提取數據。偷竊照片和盜錄語音是明顯侵犯隱私的行為。但是，即使是看似無害的感測器數據也可能將敏感信息外傳。手機的移動可能泄露用戶正在輸入什麼信息或處於什麼位置。來自馬來西亞加影國家能源大學（National Energy University）的安全研究員艾哈邁德·阿勒－海奇（Ahmed Al-Haiqi）表示，即使氣壓計讀數只是隨著海拔升高而產生微小變化，也能暴露你位於建築的第幾層。

這些鬼鬼祟祟的入侵也許在現實生活中還沒有發生，但是學界和產業界的相關研究者們正試圖阻止未來入侵的出現。一些科學家設計了間諜應用並在志願者身上進行測試，想看看手機究竟能泄漏多少主人的隱私。其他研究者正在建立新的手機安全系統，以保護用戶免受各種各樣現實和假想的隱私侵犯的行為，從偷竊PIN碼到暗中跟蹤。

信息泄漏

手機中的運動探測器，比如加速計和旋轉感知陀螺儀，可能成為暗地收集手機數據的主要工具。它們不受訪問許可的保護——手機使用者不需要授權，一個新安裝的應用就能訪問這些感測器。所以對於任何下載到手機上的應用來說，運動探測器都是名正言順的囊中物。加州大學洛杉磯分校（UCLA）的工程師瑪尼·斯里瓦斯塔瓦（Mani Srivastava）說，「這些感測器信號上包含著極多樣的環境信息。」

舉個例子，觸碰手機屏幕的不同區域會讓手機傾斜並有些許位移，而手機上的運動感測器可以識別這種方式。梅內茲德和他的同事在2017年4月的《國際信息安全雜誌》（International Journal of Information Security）上發布了這一研究。這些感測器的數據用人類的眼睛看也許毫無意義，阿勒－海奇說，但是複雜的計算機程序可以在混亂中識別出各種模式，並將一塊塊運動數據和對不同按鍵區域的觸碰匹配起來。

圖片來源：pexels

大多數情況下，這些計算機程序都使用了機器學習的演算法，阿勒－海奇說。研究者給這些程序提供大量運動感測器的數據，這些數據標記有特定運動造成的鍵盤觸擊信息，由此訓練它們識別鍵盤敲擊。一些研究者創建了一個叫做TouchLogger的應用，該應用可以收集方向感測器的數據並用這些數據來推測用戶按了手機上哪些數字鍵。在2011年舊金山USENIX的關於安全熱點的專題討論會（USENIX Workshop on Hot Topics in Security）上，TouchLogger在HTC手機上進行了一次測試，對按鍵輸入的推測正確率達到了百分之七十以上。

自那以後，科學家們編寫推測各類手機上的數字以及字母按鍵的代碼，做了許多類似的研究。在2016年《普適與移動計算》（Pervasive and Mobile Computing）期刊上，阿勒－海奇和他的同事對這些研究進行了評述，並總結道只有窺探者的想像力能限制運動數據轉換為鍵盤輸入字元。這些按鍵可以泄漏所有信息——從網上銀行的登陸密碼到一封郵件或者一條簡訊的內容。

一個更新的應用程序利用了包括陀螺儀、加速計、光感測器以及測量磁性的磁強計在內的一整套手機感測器來猜測PIN碼。這個應用分析了一個手機的移動軌跡以及在這期間用戶手指是如何遮住光感測器的。根據研究者發布在2017年12月在密碼學預印本網站（Cryptology ePrint Archive）上的報告，在50個PIN碼庫的測試中，這個應用通過按鍵推測出的答案有99.5％的正確率。

其他研究者將運動數據與錄音記錄匹配，這可以挑出手指點擊屏幕時發出的較輕的聲音。一個研究小組設計了一款可以偽裝成簡單筆記工具的惡意軟體。當用戶使用該應用鍵盤的時候，這個應用會悄悄記錄下鍵盤輸入信息、鍵盤輸入時麥克風和陀螺儀的數據，來學習每個按鍵的聲音和移動感覺。

這款應用甚至能夠在後台竊聽用戶在其他應用上輸入的敏感信息。根據2014年美國計算機協會召開的無線與移動網路的安全隱私會議（Conference on Security and Privacy in Wireless and Mobile Networks）的記錄，在三星和HTC手機上測試的時候，這個應用推測出的100個4位PIN碼的正確率是94％。

不過阿勒－海奇指出，這個成功率主要是因為擊鍵解碼技術是在可控條件下運行的，解碼演算法假設用戶會用一種特定的姿勢握著手機或坐下來打字。這些數據抓取程序在更廣的範圍中運行的效果如何還有待觀察。但是關於運動感測器或者其他感測器是否能成為侵犯隱私的新工具一事已經有了答案，阿勒－海奇說，「顯而易見，它們可以。」

跟蹤狂

運動感測器同樣可以描繪出一個人旅途路線，比如一次地鐵或公交行程。一次旅程產生的潛在移動數據和更短的、急速的運動——比如把手機從口袋裡拿出來——有可分辨的不同。研究者設計了一款應用來從加速計記錄中抓取不同地鐵路線的數據標誌，該研究發表在了2017年IEEE的《信息取證與安全事務》（Transactions on Information Forensics and Security）期刊上。

實驗使用了三星手機，在中國南京的地鐵上進行測驗。這個追蹤應用可以從辨認出使用者乘坐地鐵的路線，當乘坐站數變多時，應用的推測準確率也相應提高。當乘車距離是三站、五站、七站的時候，與之對應的最低正確率是59％、81％和88％。有能力窺探用戶地鐵移動路線的人也許能知道用戶的私人信息，比如用戶的居住地點和工作地點、用戶常去的商店或酒吧、日常行程。如果這個應用能追蹤多人的話，窺探者甚至能知道用戶會在哪些地點見哪些人。

加速計的數據同樣可以窺探駕駛路線，2012年在印度班加羅爾舉行的IEEE通信系統與網路的國際會議（International Conference on Communication Systems and Networks）上就有人描述過。其他感測器可以用於跟蹤人們在有限空間內的運動：有一個團隊同步了手機的麥克風和攜帶型揚聲器，製造出一個動態聲納系統去描繪一個人在屋子裡的移動軌跡。這個團隊的研究發表在了2017年9月的美國計算機協會期刊（Proceedings of the ACM on Interactive, Mobile, Wearable and Ubiquitous Technologies）上。

「幸運的是，現實生活我們還沒有看見類似感測器間諜技術的玩意兒。」邁阿密佛羅里達國際大學（Florida International University）的電氣與電子工程師塞爾丘克·烏迦克（Selcuk Uluagac）說，「但是這不代表我們不需要防禦這個來自外界的明顯威脅。」

之所以要保持警惕，是因為研究者用來收集感測器數據的演算法變得越來越先進而且易於使用，梅內茲德說。研究者想要提醒大家的是，現在能設計出這種侵犯隱私程序的不只有那些有著好多個博士學位的人。即使是那些不了解機器學習演算法內在工作原理的應用程序開發者，也可以輕而易舉地利用網上的代碼來製作窺嗅探感測器的程序。

而且，手機感測器不僅僅只是為那些兜售竊密軟體的網路犯罪分子提供窺探隱私的機會。合法的應用程序通常會收集用戶信息，比如搜索引擎和應用下載的記錄，然後賣給廣告商或其他第三方。而第三方可以利用這些信息了解用戶生活的各個方面——那些用戶不一定想要分享的方面。

拿健康保險公司舉個例子。「你也許不想讓他們知道你是一個懶人還是一個愛運動的人，」梅內茲德說，「運動感測器會記錄你每天運動量是多少，他們可以很容易分辨出你是哪一個類型的人。」

感測器防護措施

因為現在不可信的第三方從感測器數據里獲得私密信息變得越來越容易，所以研究者想要找出方法，讓人們能更好地掌控什麼應用能獲取設備上的信息。一些防護措施也許會以獨立應用的形式出現，而其他的可能會以工具的形式通過未來手機系統的更新嵌入。

烏迦克和他的同事在2017年8月溫哥華USENIX安全研討會上提出創建一個叫第六感（6thSense）的系統。這個系統用來監視手機感測器的活動，在感測器有不尋常行為的時候提醒用戶。用戶訓練這個系統來識別手機在進行日常活動比如打電話、瀏覽網頁以及導航時的感測器行為。然後，第六感會持續檢測手機感測器是否與有這些習得行為不一樣的活動。

如果哪一天第六感識別出不尋常的舉動——比如運動感測器在收集一個用戶坐著或打字時的數據，第六感就會提醒用戶。然後用戶就可以檢查是哪一個最近下載的應用做出了可疑行為，並且從手機中刪掉這個應用。

烏迦克的團隊最近在測試這個系統的原型：50位用戶使用三星手機對第六感進行識別典型感測器活動的訓練。研究者將來自日常活動中的無害數據樣例和感測器惡意操作數據混合，然後讓第六感挑出其中的問題數據，第六感的正確率超過了96％。

對於想要更主動的掌控自身數據的用戶，薩普里約·查克拉博蒂（Supriyo Chakraborty）和他的同事設計了DEEProtect系統。薩普里約是一位隱私與安全研究員，在IBM公司位於紐約約克高地的研究中心工作。他和同事設計的這款系統可以讓應用無法根據感測器數據辨認出用戶的具體活動。根據2017年2月在網站（arXiv.org）上公布的論文，用戶可以使用這一系統限定應用的感測器數據使用方式。比如，一個人也許想用一款應用轉錄錄音，但不想讓應用辨認出說話者是誰。

DEEProtect截取應用獲得的原始感測器數據，然後只將用戶批准的那部分功能所需要的數據提供給應用程序。對於語音轉錄文字，手機通常需要聲音頻率信息和一個句子中特定詞語相連的概率信息。

但是聲音頻率可以讓一個間諜軟體推測出說話者的身份。所以DEEProtect系統會將這項數據篡改後再交給應用，只讓應用獲得有關詞序的信息——因為這部分與說話者的身份關聯很小或者基本沒有。用戶可以控制DEEProtect對數據的修改程度，改得越多隱私泄露得就越少，但應用功能也會相應受到限制。

賓州州立大學（Penn State）的計算機科學家和工程師朱塞佩·彼得拉卡（Giuseppe Petracca）和他的同事使用了另一種方法來保護用戶。他們使用一個叫做AWare的安全系統防止用戶無意間允許欺詐性應用訪問感測器。

惡意軟體可能在不同請求時使用類似的圖標來迷惑用戶。圖片來源：引用論文https://www.usenix.org/system/files/conference/usenixsecurity17/sec17-petracca.pdf

應用在初次安裝或者初次使用像麥克風、相機這類特定感測器的時候必須得到用戶的許可。但是用戶可以很隨意地慷慨甩給應用一堆許可，烏迦克說。「人們盲目授權，就像說『嘿，你可以使用相機，你可以使用麥克風』一樣。但是他們並不知道這些應用會如何使用感測器。」

相比在新應用安裝時請求授權，AWare會在一個應用第一次使用某個特定感測器提供某個特定輸入的時候發出請求，比如用戶按下相機按鈕的時候。不僅如此，AWare系統還能記住在用戶初次給予應用許可權時手機的狀態——手機屏幕上的具體畫面、請求的哪項感測器許可以及其他信息。通過這種方法，在之後應用想要欺騙用戶獲取訪問許可時，AWare就可以提醒用戶。

朱塞佩和他的同事用想像中的一個狡猾的數據盜取應用作為例子。這個應用會在用戶第一次按下相機按鈕的時候申請相機訪問許可權，但還會在用戶第二次按下相機按鈕時試圖獲取麥克風的訪問許可權。這時候AWare系統就會意識到在初次授權時，麥克風功能並沒有包含在許可範圍內，從而會再次詢問用戶是否要給予應用這個額外許可權。該系統同樣在2017年USENIX安全研討會上進行了展示。

朱塞佩和同事發現，用戶在使用裝有AWare系統的Nexus手機時避免了93％的不必要授權，而使用典型條款即應用在首次安裝或使用時請求許可的情況下，這一數字是9％。

隱私的代價

谷歌的安卓安全團隊同樣在努力減少應用收集感測器數據帶來的隱私暴露風險。安卓系統安全工程師雷內·邁爾霍夫（Rene Mayrhofer）說，他和他的同事正在密切關注學術界最新的安全研究。

但是僅僅是某個人成功創建並測試了新手機安全系統的原型，並不意味著它會出現在將來的手機操作系統更新中。安卓並沒有適配這些感測器防護措施，邁爾霍夫解釋道，因為我們的安全團隊還在尋找一種可以維持適當平衡的協議——既可以限制惡意應用又不會妨礙到可信用程序的運行。

「整個應用生態系統太大了，其中許多不同的應用程序的目的都是正當的。」他補充道。任意一種抑制應用程序使用感測器的新安全系統都可能毀掉那些合法的應用程序。

技術公司也許同樣不情願採取額外的安全措施，因為這些額外的保護措施可能會讓用戶體驗變差，比如AWare的額外彈出請求。安全和便利之間存在一種內在的權衡關係，加州大學洛杉磯分校的斯里瓦斯塔瓦說。「你永遠不可能擁有一個神奇的感測器防護盾，既能保護你的隱私又不影響使用體驗。」

但是隨著感測器變得普及和強大，分析數據的演算法變得越發精明，就算是手機廠商最終也會承認目前的感測器保護措施需要改善。「這就像貓和老鼠，」阿勒－海奇說，「攻擊手段變厲害，解決方案會改善。攻擊手段變得更厲害，解決方案會再度改善。」

這場貓鼠遊戲還將繼續，查克拉博蒂同意這個觀點，「我不認為在未來某一天，我們能簡單地宣布這一場遊戲的勝者然後結束比賽。」（編輯：vicko238）

題圖來源：pixabay

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！