手机传感器是怎么泄密的

前言

手机太能干了：计算你每天走了多少步，帮你导航，成为你的转账工具……这是因为它们装了一套传感器。手机传感器的功能，有些曾被我们忽略了，比如感知光线、湿度、压力以及气温。

手机传感器每时每刻都在与人为伴，毕竟绝大多数人选择一直开机，即使手机锁着屏。

自那以后，科学家们编写推测各类手机上的数字以及字母按键的代码，做了许多类似的研究。在2016年《普适与移动计算》期刊上，阿勒·海奇和他的同事对这些研究进行了评述。按键可以泄漏所有信息——从网上银行的登陆密码，到一封邮件，或者一条短信的内容。

一个更新的应用程序利用了一整套手机传感器，来猜PIN码，包括陀螺仪、加速计、光传感器以及测量磁性的磁强计在内的。这个应用分析的是手机的移动轨迹，以及在触屏时用户手指是如何遮住光传感器的。根据研究者2017年12月发布的报告，在50个PIN码库的测试中，这个应用通过按键推测出的答案有99.5％正确。

跟踪狂：运动传感器

你去了哪，可能见什么人，我都知道

运动传感器同样可以描绘出一个人旅途，比如一次地铁或公交行程。一次旅程产生的潜在移动数据和更短的、急速的运动——比如把手机从口袋里拿出来——有可分辨的不同。研究者设计了一款应用，从加速计记录中抓取不同地铁路线的数据标志，该研究发表在了2017年IEEE[1]的《信息取证与安全事务》期刊上。

实验使用了三星手机，在中国南京的地铁上进行测验。这个追踪应用可以从辨认出使用者乘坐地铁的路线，当乘坐站数变多时，应用的推测准确率也相应提高。当乘车距离是3站、5站、7站的时候，与之对应的最低正确率是59％、81％和88％。有能力窥探用户地铁移动路线的人也许能知道用户的私人信息，比如用户的居住地点和工作地点、用户常去的商店或酒吧、日常行程。如果这个应用能追踪多人的话，窥探者甚至能知道用户会在哪些地点见哪些人。

加速计的数据同样可以窥探驾驶路线，2012年就有人描述过。其他传感器可以用于跟踪人们在有限空间内的运动：有一个团队同步了手机的麦克风和便携式扬声器，制造出一个动态声纳系统去描绘一个人在屋子里的移动轨迹。这个团队的研究发表在了2017年9月的美国计算机协会期刊上[2]。

保持警惕

这不只是隐私被窥探

传感器防护措施

让第三方软件远离隐私信息

因为现在，不可信的第三方从传感器数据里获得私密信息变得越来越容易，所以研究者想要找出方法，让人们能清楚地知道，什么应用能获取设备上的信息。一些防护措施可能会以独立应用的形式出现，或者以工具的形式，通过手机系统更新嵌入。

乌迦克和他的同事在2017年8月温哥华USENIX安全研讨会上提出创建一个叫第六感（6thSense）的系统。这个系统用来监视手机传感器的活动，在传感器有不寻常行为的时候提醒用户。用户训练这个系统来识别手机在进行日常活动比如打电话、浏览网页以及导航时的传感器行为。然后，第六感会持续检测手机传感器是否与有这些习得行为不一样的活动。

如果哪一天第六感识别出不寻常的举动——比如运动传感器在收集一个用户坐着或打字时的数据，第六感就会提醒用户。然后用户就可以检查是哪一个最近下载的应用做出了可疑行为，并且从手机中删掉这个应用。

乌迦克的团队最近在测试这个系统的原型：50位用户使用三星手机对第六感进行识别典型传感器活动的训练。研究者将来自日常活动中的无害数据样例和传感器恶意操作数据混合，然后让第六感挑出其中的问题数据，第六感的正确率超过了96％。

宾州州立大学（Penn State）的计算机科学家和工程师朱塞佩·彼得拉卡（Giuseppe Petracca）和他的同事使用了另一种方法来保护用户。他们使用一个叫做AWare的安全系统防止用户无意间允许欺诈性应用访问传感器。

恶意软件可能在不同请求时使用类似的图标来迷惑用户。图片来源：引用论文https://www.usenix.org/system/files/conference/usenixsecurity17/sec17-petracca.pdf

应用在初次安装或者初次使用像麦克风、相机这类特定传感器的时候必须得到用户的许可。但是用户很可能随意、盲目、慷慨地甩给应用一堆许可，他们并不知道严重性。

相比在新应用安装时请求授权，AWare会在一个应用第一次使用某个特定传感器提供某个特定输入的时候发出请求，比如用户按下相机按钮的时候。不仅如此，AWare系统还能记住在用户初次给予应用权限时手机的状态——手机屏幕上的具体画面、请求的哪项传感器许可以及其他信息。通过这种方法，在之后应用想要欺骗用户获取访问许可时，AWare就可以提醒用户。

朱塞佩和他的同事用想象中的一个狡猾的数据盗取应用作为例子。这个应用会在用户第一次按下相机按钮的时候申请相机访问权限，但还会在用户第二次按下相机按钮时试图获取麦克风的访问权限。这时候AWare系统就会意识到在初次授权时，麦克风功能并没有包含在许可范围内，从而会再次询问用户是否要给予应用这个额外权限。该系统同样在2017年USENIX安全研讨会上进行了展示。

朱塞佩和同事发现，用户在使用装有AWare系统的Nexus手机时避免了93％的不必要授权，而使用典型条款即应用在首次安装或使用时请求许可的情况下，这一数字是9％。

隐私保护，道阻且艰

这是一场不会终止的博弈

谷歌的安卓安全团队同样在努力减少应用收集传感器数据带来的隐私暴露风险。安卓系统安全工程师雷内·迈尔霍夫（Rene Mayrhofer）说，他和他的同事正在密切关注学术界最新的安全研究。

但是仅仅是某个人成功创建并测试了新手机安全系统的原型，并不意味着它会出现在将来的手机操作系统更新中。安卓并没有适配这些传感器防护措施，迈尔霍夫解释道，因为我们的安全团队还在寻找一种可以维持适当平衡的协议——既可以限制恶意应用又不会妨碍到可信用程序的运行。