手機加速度計，是智慧手機中一種能夠測量加速度的感測器。從前，業界認為其和個人資訊無關，因此手機App可以“無門檻”呼叫手機加速度計讀數或是獲取相應許可權。

日前，浙江大學網路空間安全學院院長任奎帶領團隊研究了發現“加速度計竊聽”。這是一種基於深度學習加速度感測器訊號的新型“側通道”智慧手機竊聽攻擊方法。智慧手機App可在使用者不知情、無需系統授權的情況下，利用手機內建加速度感測器採集手機揚聲器所發出聲音的震動訊號，實現對使用者語音的竊聽。這一攻擊不僅隱蔽，而且並不違法。

可識別關鍵字 竊聽準確率高達90%

任奎團隊發現的這一新攻擊路徑與技術的發現提示我們，手機在軟硬體兩方面的安全漏洞還需要得到更多關注。

據悉，“加速度計竊聽”可以收集語音資訊意味著攻擊者可以從使用者的手機中竊取多種隱私資料。比如：通過竊聽使用者的電話，語音資訊，語音備忘錄等，攻擊者可能可以從語音資訊中提取出使用者的家庭住址，信用卡資訊，身份證號，使用者名稱密碼等一系列重要資訊；通過竊聽手機地圖的語音導航系統，攻擊者可能可以提取出一些跟位置有關的關鍵字，推斷出使用者目前的位置以及目的地；通過竊聽使用者手機播放的音樂和視訊，攻擊者可以推斷出使用者在這些方面的偏好。總的來說，這是一種用途非常廣泛的攻擊方式，對使用者隱私威脅很大。

根據浙江大學團隊的實驗結果，在關鍵字檢測任務中，這種竊聽攻擊可以以平均90%的準確率識別並定位使用者語音中所攜帶的關鍵字。攻擊者在訓練自己的模型時可以自行選擇想要識別哪些關鍵字。

面對超隱蔽漏洞 如何保障隱私安全

針對手機廠商，任奎建議各大手機廠商提高加速度感測器的許可權級別，儘量避免各類應用在非必要的情況下采集加速計資料。與此同時，各大廠商還應對加速計的取樣頻率進行限制，或通過系統內建濾波器提前過濾掉加速度感測器訊號中包含最多語音資訊的高頻部分。另外，為了避免將來出現類似的漏洞，我們建議各大廠商重新評估各個感測器的安全性和敏感性，修改Android作業系統對手機App呼叫各種感測器資料的使用許可權，像鴻蒙OS等自主可控的作業系統更是可以從系統層面考慮，杜絕未來的側通道攻擊路徑。

針對普通消費者，在各大手機廠商提出進一步解決方案之前，任奎認為最有效也最便捷的防禦方式就是通過耳機來接聽電話或語音資訊。因為手機中的加速計與耳機間的物理隔離，使其無法接觸到耳機發出的震動，所以通過耳機播放的聲音是不會被這種攻擊竊聽的。

“這種攻擊非常難以察覺，之前我們還沒有發現有新聞報道相關的案例。但實際上有沒有就非常難說了，也可能之前已經有黑客發現並利用了這種漏洞，但是出於利益的考慮，並沒有把它公佈出來。所以我們需要儘快堵住這種漏洞，給使用者提供一個有效的安全解決方案。“任奎告訴記者。