浙大网安科研成果引发谷歌安卓操作系统隐私机制变革

       近期，谷歌公司发布了聚焦用户隐私保护的安卓12操作系统更新说明。在此次升级中，安卓系统除了对麦克风，摄像头等传感器进行了安全增强，还对加速计等看似与隐私无关的运动传感器制定了严格的使用规范，加强了对其高频传感数据的权限管理。究其原因在于加速度计等运动传感器已被证实可窃听手机通话！而这一重大发现来自浙江大学网络空间安全研究中心。
       基于加速计的手机窃听攻击是浙大网安中心任奎教授团队于2020年2月提出的一种新型隐私威胁，通过相关技术，任何手机应用程序都可以在无需用户授权的情况下，隐蔽窃听用户手机发出的语音信号。这一威胁源于商用智能手机中各类传感器高度集成的物理结构。当手机播放声音时，扬声器产生的震动会通过主板传递至加速计，进而影响该传感器所采集的运动信号。由于加速计本身就是一种测量手机自身加速度的传感器，其对震动信号的捕捉能力极为优秀，因此能够较好的保留声音信号中的语义信息。围绕这一发现，浙大网安团队基于深度学习算法实现了针对手机语音信号的关键字识别和语音重建攻击，成功地从加速计信号中识别并恢复出了大量敏感语音信息，证实了此类攻击的可行性及其严重性。相关工作发表于国际互联网协会网络与分布式系统安全会议NDSS（信息安全四大会议之一），受到了新华社、科技日报、美国国土安全新闻等海内外媒体以及华为等公司的广泛关注。

 

       针对上述攻击，谷歌公司在此次更新中提出“To protect potentially sensitive information about users, if your app targets Android 12, the system places a limit of 200 Hz on the refresh rate of data from certain motion sensors and position sensors. ”，通过将加速计等运动传感器的采样率限制在200Hz以下，来减少此类传感器可能采集到的语音信号，进而保护和用户有关的潜在敏感信息。如果某些特殊的应用程序需要以更高的采样率获取传感数据，则必须经过用户授权。据笔者所知，这应该是安卓系统首次对此类零权限传感器的使用实施明确限制。而200Hz这一数字则是谷歌公司在可用性与安全性之间权衡的结果。从可用性角度来讲，200Hz足以满足当下大部分应用程序对运动数据的实时性需求。从安全性角度来说，当运动传感器以200Hz的频率工作时，其能完整恢复的语音信号将限制在100Hz以下，而人类语音的信息主要存在于85Hz以上的频段，因此运动传感器能采集到的语音信息已相对较少。
       然而，需要指出的是，将采样率限制在200Hz只能作为暂时性的解决方案。一方面，随着移动感知技术的蓬勃发展，各类应用对传感器采样率的需求会不断提升，强行加以限制终将阻碍各类应用的创新。另一方面，将采样率限制在200Hz并不能完全清除运动传感器采集到的语音信号，用户语音中的部分高频信息依然会以混叠失真的形式存在于低频信号之中，加之人类语音的高度结构化特征，攻击者仍然可能通过深度学习算法提取出可观的用户隐私信息。
       不过，虽然这种防御策略并没有彻底解决运动传感器带来的隐私威胁，但此次安卓升级依然迈出了解决此类安全隐患的第一步，为用户隐私提供了进一步的保护。谷歌公司的此次更新也反映了工业界对移动隐私方向学术研究的认可与关注。今后浙大网安团队还将继续深入研究各类智能设备可能存在的隐私威胁，为保护用户隐私持续贡献力量。