APP偷听是真的吗
9月12日晚,记者与人聊天时,说到了毕业后去高校就业的话题。过了一会儿,对方的小红书上就被推荐了“去高校工作的利与弊”的文章。他并不吃惊地对记者说:“我的手机肯定是被偷听了?刚说完就推荐了,这种情况已经不是第一次了。”
偷听、自启动、剪切板读取……在今年的国家网络安全宣传周上,中国电子技术标准化研究院信息安全研究中心审查部总监何延哲对记者表示:“老百姓举报的问题越来越专业,虽然对我们的工作来说是一种挑战,但这种挑战让我们觉得很欣慰,这是非常可喜的。”
此前,国家市场监督管理总局、中央网络信息化办公室、工业和信息化部、公安部等部门联合开展APP违法违规收集使用个人信息专项治理。随着治理工作的深入,APP偷听等话题也开始引发热议。
对于普通用户来说,他们非常想了解使用APP到底可不可能被偷听。日前,APP专项治理工作组的专家首次从技术层面对此进行了全面的解读。
最新版安卓和苹果系统无法偷听
感觉自己被偷听已经不是一个新鲜话题了。针对网友对APP存在偷听日常谈话的质疑,全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会成立APP专项治理工作组,组织专家从偷听的可行性、性价比等方面进行了探讨,以帮助消费者切实有效地提升个人信息保护意识和能力。
APP专项治理工作组专家邓舒认为,APP要实现偷听有三种方式:静默状态录音、侧信道还原和突破系统权限。
静默录音是指APP在不通知用户的情况下,通过移动终端系统提供的录音功能实现后台静默录音,从而达到偷听目的。消费者感觉最多的也是这种情况,即用户授权APP使用录音权限后可能出现的情况。
但邓舒指出,最新的安卓和苹果手机操作系统都已经从系统层面对在用户无感情况下实现偷听采取了限制机制,因此APP进行隐蔽偷听是很困难的。限制后,Android9及以上版本手机里的APP,在后台运行时无法访问麦克风。只有打开前台应用或通过前台服务,才能进行录音,而这两种方式都会在手机屏幕上有足够的提示,用户都会感知到。
邓舒还指出,Android9以下版本的手机由于没有限制机制,APP是可以使用麦克风偷听的。因此,用户应更新安卓操作系统到最新版本。
相比安卓系统,苹果iOS系统本身就对获取用户隐私数据做了足够的限制,因此从系统层面避免了恶意偷听的可能性。苹果手机的APP申请后台录音等操作时,必须经过用户授权。即便授权后,APP第一次录音或后台录音超过8分钟时,系统也会弹窗提示用户。而苹果官方要求APP开发者在开发过程中就要申明权限。
记者发现,在苹果手机上,有“播放/暂停”按钮的APP,如果要调用录音功能,必须通过界面才能启动,无法从后台操作。
侧信道还原偷听正确率高达90%
还有一种偷听方式并不是直接偷取语音。邓舒指出,侧信道技术还原是指在用户不知情的情况下,通过手机中的其他传感器来获取数据,再利用深度学习等技术,将数据恢复成语音数据。今年,浙江大学、多伦多大学、麦吉尔大学团队共同发表了一项关于手机窃听的研究成果:APP可以在用户毫不知情的情况下,利用智能手机内置的加速度计传感器窃听,理论上的识别正确率高达90%。
这就是最近比较热门的名为“加速度计偷听”攻击方式,即基于深度学习加速度传感器信号的新型“侧信道偷听”攻击。原理是利用扬声器发出的声音震动信号、加速器数据,转换为语音的工作流。邓舒指出,加速度计等传感器并不受操作系统的权限控制,且任何APP都可申请使用,因此是可实现的偷听方式。但由于这种技术门槛高,需要深度学习模型的建立、训练以及排除环境干扰因素影响等,因此在非实验室环境下很难被有效使用。也就是说,尽管是可行的,但用户也不必过于担心。
突破系统权限实现偷听确有可能
在网络上,可以找到宣称能够提供电话监听、环境监听、电话呼叫与VoIP录音等“间谍”功能的APP。邓舒以一款国外的APP为例,说明有些APP可以在非越狱的安卓手机和越狱后的苹果手机中安装,达到偷听的目的。
邓舒指出,这类APP主要是通过突破手机操作系统限制,绕开系统提供的函数,直接调用硬件功能,以实现录音、拍照等目的。要做到这一点需要两个条件:一是手机厂商对APP开放特殊权限;二是利用系统漏洞、安装恶意程序等方式。但无论哪种方式,难度及成本都非常高。
而“间谍”APP的售卖和运营都属于违法行为,APP开发者、运营者、使用者都将面临被追究法律责任的巨大风险。
邓舒认为,偷听虽然在技术上有可行性,但技术门槛、商业成本和法律风险都很高,因此,如果只是基于广告营销、定向推送等日常运营的目的,APP运营者基本不会去做。
邓舒指出,用户之所以常常会有被偷听的感觉,大概率是诸如“大数据画像”“标签共享”“精准推送”等技术导致的结果。但偷听的风险依然存在,还有未知的技术和机制需要进一步研究。
多种方式有效防止智能手机偷听
偷听即便是极小概率事件,也是用户非常担心的重大隐私保护问题。因此,邓舒建议用户采取措施,有效防止偷听。一是更新手机操作系统到最新版本;二是如非必要,不授权长期开启麦克风、摄像头等权限,可选择采取一次一授权等方式;三是通过手机操作系统的权限管理等功能一次性关闭麦克风、摄像头等权限,如APP在合理的场景下需要开启时再单独授权;四是如果APP强制要求开启“麦克风、摄像头”等权限,否则不让使用浏览等基本功能,或不让使用与上述权限无关的其他功能,则不要使用该APP,还可向“APP个人信息举报”公众号进行举报。
对于智能手机操作系统开发商和手机厂商来说,一是要进一步完善透明化机制,防止恶意APP在用户不知情时滥用系统权限;二是完善手机软硬件安全机制设计,提升系统安全性和缺陷利用难度(如侧信道),避免被恶意利用;三是主动跟踪关注系统漏洞信息,及时发布安全补丁,并提醒用户更新。
谈及偷听、自启动等曾被网友热议的问题,何延哲表示,近些年,通过网络安全宣传周等活动的宣传科普,老百姓的举报越来越专业,这也顺应了“网络安全靠人民”的国家网络安全周的主题。(记者:武晓莉)
9月12日晚,记者与人聊天时,说到了毕业后去高校就业的话题。过了一会儿,对方的小红书上就被推荐了“去高校工作的利与弊”的文章。他并不吃惊地对记者说:“我的手机肯定是被偷听了?刚说完就推荐了,这种情况已经不是第一次了。”
偷听、自启动、剪切板读取……在今年的国家网络安全宣传周上,中国电子技术标准化研究院信息安全研究中心审查部总监何延哲对记者表示:“老百姓举报的问题越来越专业,虽然对我们的工作来说是一种挑战,但这种挑战让我们觉得很欣慰,这是非常可喜的。”
此前,国家市场监督管理总局、中央网络信息化办公室、工业和信息化部、公安部等部门联合开展APP违法违规收集使用个人信息专项治理。随着治理工作的深入,APP偷听等话题也开始引发热议。
对于普通用户来说,他们非常想了解使用APP到底可不可能被偷听。日前,APP专项治理工作组的专家首次从技术层面对此进行了全面的解读。
最新版安卓和苹果系统无法偷听
感觉自己被偷听已经不是一个新鲜话题了。针对网友对APP存在偷听日常谈话的质疑,全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会成立APP专项治理工作组,组织专家从偷听的可行性、性价比等方面进行了探讨,以帮助消费者切实有效地提升个人信息保护意识和能力。
APP专项治理工作组专家邓舒认为,APP要实现偷听有三种方式:静默状态录音、侧信道还原和突破系统权限。
静默录音是指APP在不通知用户的情况下,通过移动终端系统提供的录音功能实现后台静默录音,从而达到偷听目的。消费者感觉最多的也是这种情况,即用户授权APP使用录音权限后可能出现的情况。
但邓舒指出,最新的安卓和苹果手机操作系统都已经从系统层面对在用户无感情况下实现偷听采取了限制机制,因此APP进行隐蔽偷听是很困难的。限制后,Android9及以上版本手机里的APP,在后台运行时无法访问麦克风。只有打开前台应用或通过前台服务,才能进行录音,而这两种方式都会在手机屏幕上有足够的提示,用户都会感知到。
邓舒还指出,Android9以下版本的手机由于没有限制机制,APP是可以使用麦克风偷听的。因此,用户应更新安卓操作系统到最新版本。
相比安卓系统,苹果iOS系统本身就对获取用户隐私数据做了足够的限制,因此从系统层面避免了恶意偷听的可能性。苹果手机的APP申请后台录音等操作时,必须经过用户授权。即便授权后,APP第一次录音或后台录音超过8分钟时,系统也会弹窗提示用户。而苹果官方要求APP开发者在开发过程中就要申明权限。
记者发现,在苹果手机上,有“播放/暂停”按钮的APP,如果要调用录音功能,必须通过界面才能启动,无法从后台操作。
侧信道还原偷听正确率高达90%
还有一种偷听方式并不是直接偷取语音。邓舒指出,侧信道技术还原是指在用户不知情的情况下,通过手机中的其他传感器来获取数据,再利用深度学习等技术,将数据恢复成语音数据。今年,浙江大学、多伦多大学、麦吉尔大学团队共同发表了一项关于手机窃听的研究成果:APP可以在用户毫不知情的情况下,利用智能手机内置的加速度计传感器窃听,理论上的识别正确率高达90%。
这就是最近比较热门的名为“加速度计偷听”攻击方式,即基于深度学习加速度传感器信号的新型“侧信道偷听”攻击。原理是利用扬声器发出的声音震动信号、加速器数据,转换为语音的工作流。邓舒指出,加速度计等传感器并不受操作系统的权限控制,且任何APP都可申请使用,因此是可实现的偷听方式。但由于这种技术门槛高,需要深度学习模型的建立、训练以及排除环境干扰因素影响等,因此在非实验室环境下很难被有效使用。也就是说,尽管是可行的,但用户也不必过于担心。
突破系统权限实现偷听确有可能
在网络上,可以找到宣称能够提供电话监听、环境监听、电话呼叫与VoIP录音等“间谍”功能的APP。邓舒以一款国外的APP为例,说明有些APP可以在非越狱的安卓手机和越狱后的苹果手机中安装,达到偷听的目的。
邓舒指出,这类APP主要是通过突破手机操作系统限制,绕开系统提供的函数,直接调用硬件功能,以实现录音、拍照等目的。要做到这一点需要两个条件:一是手机厂商对APP开放特殊权限;二是利用系统漏洞、安装恶意程序等方式。但无论哪种方式,难度及成本都非常高。
而“间谍”APP的售卖和运营都属于违法行为,APP开发者、运营者、使用者都将面临被追究法律责任的巨大风险。
邓舒认为,偷听虽然在技术上有可行性,但技术门槛、商业成本和法律风险都很高,因此,如果只是基于广告营销、定向推送等日常运营的目的,APP运营者基本不会去做。
邓舒指出,用户之所以常常会有被偷听的感觉,大概率是诸如“大数据画像”“标签共享”“精准推送”等技术导致的结果。但偷听的风险依然存在,还有未知的技术和机制需要进一步研究。
多种方式有效防止智能手机偷听
偷听即便是极小概率事件,也是用户非常担心的重大隐私保护问题。因此,邓舒建议用户采取措施,有效防止偷听。一是更新手机操作系统到最新版本;二是如非必要,不授权长期开启麦克风、摄像头等权限,可选择采取一次一授权等方式;三是通过手机操作系统的权限管理等功能一次性关闭麦克风、摄像头等权限,如APP在合理的场景下需要开启时再单独授权;四是如果APP强制要求开启“麦克风、摄像头”等权限,否则不让使用浏览等基本功能,或不让使用与上述权限无关的其他功能,则不要使用该APP,还可向“APP个人信息举报”公众号进行举报。
对于智能手机操作系统开发商和手机厂商来说,一是要进一步完善透明化机制,防止恶意APP在用户不知情时滥用系统权限;二是完善手机软硬件安全机制设计,提升系统安全性和缺陷利用难度(如侧信道),避免被恶意利用;三是主动跟踪关注系统漏洞信息,及时发布安全补丁,并提醒用户更新。
谈及偷听、自启动等曾被网友热议的问题,何延哲表示,近些年,通过网络安全宣传周等活动的宣传科普,老百姓的举报越来越专业,这也顺应了“网络安全靠人民”的国家网络安全周的主题。(记者:武晓莉)
- 聚焦“双11”•提品质促销费 |“双11”大促揭幕 “虚假破价”现身直播间(2024-10-18)
- 星期一、欧唯曼2款样品有害物质超标(2024-10-11)
- “天天招财爆单百货店”暗藏消费陷阱(2024-10-11)
- 谨防儿童电话手表“毁三观”(2024-09-05)
- 地方产业屡陷集体造假危机带来警示(2024-09-04)