freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

现实版“窃听风云”!手机正在偷听你说话……
2021-08-12 16:17:25

在现实生活中,你是不是也遇到过这种情况:

当你和同事聊新房装修,购买家具的时候,各种购物APP就给你推送装修和家具广告;

当你在和朋友聊天,随口说了句“种草什么”“想要什么”,第二天手机APP就有各种花式精准推送

原来,最了解你的不是你的父母,而是潜藏在你手机里的各大APP,购物APP知道你想买什么,新闻资讯类APP知道你爱看什么,团购类APP知道你想吃什么……

只有你想不到的,没有它不知道的。

APP是如何窃取我们的信息?

在国际信息安全界顶级会议 “网络与分布式系统安全会议(NDSS 2020)”上,发表了一篇来自浙江大学网络空间安全学院任奎教授团队、加拿大麦吉尔大学、多伦多大学学者团队的最新研究成果,该成果显示:

当前智能手机App可在用户不知情、无需系统授权的情况下,利用手机内置加速度传感器采集手机扬声器所发出声音的震动信号,实现对用户语音的窃听。

加速度传感器,也可以叫运动传感器,是目前智能手机中最常见的一种嵌入式传感器,它主要用于探测手机本身的移动,常见的应用场景包括移动检测,步数统计和游戏控制等。它通常跟游戏调整视野必备的陀螺仪摆在一起,共同位于手机主板上。1628752349_6114c9dd741e05996fea9.png!small加速度传感器之所以能被用来监听电话,主要是由于智能手机本身的物理结构。由于声音信号是一种由震动产生的可以通过气态,液态,固态的各类介质进行传播的声波,因此手机扬声器发出的声音会引起手机本身的震动。而加速度传感器可以准确的感知到手机本身的震动,因此攻击者可以通过加速传感器来捕捉声音信号引起的手机震动进而推断出其中所包含的敏感信息。浙江大学网络安全团队的验结果显示,在关键字检测任务中,这种窃听攻击可以以平均90%的准确率识别并定位用户语音中所携带的关键字。这个加速传感器就是手机的“窃听器”。在日常手机应用中,加速度传感器通常被用户测速、记录步数等,因此在普遍认知中似乎与通话、短信、通信录等敏感信息产生关联,因此 App 也无需获得用户授权就可以获得智能手机的加速度信息。这也就是为什么我们对这些“窃听”防不胜防了。有哪些APP在窃取我们的隐私?2020年5月15日,工信部就曾经公布过“侵害用户权益行为的APP名单”。主要包括当当、租租车、WiFi管家等16款App。

从工信部公布的APP名单中可以看出,其中涉及的问题,主要包括“私自获取用户个人信息;超范围收取个人信息;私自共享给第三方;过度获取权限……”如何预防手机APP窃取隐私?那么,在平时生活中我们该如何去预防一些手机APP窃取隐私呢?下面,福韵君给你支几招:

1、空白通行证监控

工欲善其事必先利其器,小米用户就比较幸运,因为其MIUI12系统自带“空白通行证”功能,而这个功能最大的作用就是监控APP使用。

福韵君找到一部小米10手机,打开“空白通行证”,用户行为就一目了然的呈现在眼前,应用自启动、应用获取手机信息,应用启动其他APP全部都能记录下来。1628752556_6114caacb5d1ba6b7adc7.png!small空白通行证

但有人说,只能看到app的行为记录,但是不能主动限制,有什么用呢?其实不然,我们通过监控功能就能在很大程度上避免隐私泄露了。比如,我们在下载抖音的时候不小心点了位置权限,但平时并未注意到,而这个时候“空白通行证”就可以提醒我们去设置中关闭此功能。

此外,在MIUI12里面还有一个重要功能,就是“虚拟身份”功能。开启这个功能后,对于不给权限不让用或者空白信息不让用的软件,能够生成一个随时能重置的ID,扔给它们,然后定期更换。这样可以做到一定的隐私保护。

虚拟身份功能

2、识别码与应用权限关闭

当然,目前只有小米手机有“空白通行证”,其他品牌手机并不能使用此功能。但是,华为、OPPO等安卓手机还有其他手段防止隐私泄露。比如华为手机,在设置-隐私里,有一个广告与隐私选项,点击限制广告跟踪,即可避开个性化广告推送。重置广告标识符也可以生成一个新的随机值,就像虚拟身份一样避开追踪。

1628752661_6114cb15d3a0293fa7a28.png!small关闭广告追踪

我们都知道,手机都有固定的识别码,重置广告标识符相当于将真正的标识码隐藏起来,以随机号码应对广告追踪,可以在一定程度上避免隐私泄露。

除了手机识别码隐藏,安卓系统还能突破应用权限限制。安卓原生是有应用程序权限管理的,即是AppOps,只是谷歌把它默认隐藏了。AppOps全称是Application Operations,中文含义即应用操作启动。第三方应用商店中,可以下载AppOps软件,用于突破APP限制。

平时,我们在下载APP的时候,经常会跳出一些应用权限通知比如位置、存储权限等,如果不开放就无法使用这些APP。但是如果我们下载AppOps就可以突破限制。

但是,这个APP并不方便,在没有root情况下,每次使用都需要电脑ADB来启动。而root对于手机来说相当于放弃所有系统保护,并不适合普通消费者。总的来说,AppOps是一个不方便但很强大的APP,适合极客调试使用,对于普通消费者来说,若不是急需,最好不要轻易尝试。

3、轻应用替代

对于普通消费者来说,最好的隐私保护办法就是从源头上杜绝。首先下载APP是认证官方应用商店,不要下载来路不明的APP。其次,尽量减少手机中APP数量,以轻应用替代。什么是轻应用呢?轻应用是一种无需下载、即搜即用的全功能的快捷APP。微信小程序、支付宝小程序、华为快应用、谷歌Chrome轻应用,都是轻应用的一种。

以华为轻应用为例,微博、汽车之家、唯品会、芒果TV这些APP都有轻应用可供下载。下载之后与普通APP一样,都会在手机屏幕上保存一个快捷方式。微信小程序也是一样,几百万小程序大多可以设置快捷方式到屏幕,尽情体验与APP类似的功能。

手机下载的APP需要各种应用与权限,部分APP还会在用户不知道的情况下搜集用户隐私。轻应用则不同,本质上它更像一个个网页综合在一起,不会去搜集用户信息。虽然在实际使用轻应用并没有APP方便,但是为了隐私保护这些都是值得的。

我们作为普通消费者,不能因为很难预防而放弃抵抗,应该主动学习网络安全基本知识,提高隐私泄露防范意识,改变不良的上网习惯,这才是保护个人隐私的切实之策。

本文作者:, 转载请注明来自FreeBuf.COM

# web安全 # 系统安全 # 数据安全 # 网络安全技术
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按热度排序

登录/注册后在FreeBuf发布内容哦

相关推荐
\
  • 0 文章数
  • 0 评论数
  • 0 关注者
文章目录
登录 / 注册后在FreeBuf发布内容哦
收入专辑