??????
来源量子位(ID:QbitAI)
行早 发自 凹非寺
现在App泄露信息并不新鲜。手机存储、应用列表、定位、剪切板……
但这些都可以通过权限管理关闭。
但是有一个权限请求不能关闭,甚至你的数据也被访问了App也不会通知你。
它和它一起包装在核心运动框架上(Core Motion Framework)里的有关。
近期,一位iOS开发者Tommy Mysk在社交媒体上读取加速度计数据的情况,在社交媒体上引起了热烈的讨论。
除加速度计外,还有陀螺仪、气压计等高精度测量设备。它们的数据可用于许多应用程序。
这一次,它被称为隐私保护iOS这一点似乎被遗漏了。
Tommy发现,目前iOS未经用户明确许可,允许任何已安装的应用程序访问加速度计数据。
核心运动模块有很多文章
但是加速度计有什么用呢?
您很难想象,凭借您的加速数据,配合核心运动模块中的陀螺仪等设备,您可以收集到非常准确的信息。
首先,不同的运动状态会有不同的加速度变化分布。
因此,加速可以反映你握手机的方式,无论是站着还是躺着,走路还是骑自行车,还是步骤。
虽然iPhone上面的计步器受到系统权限的保护,但许多计步算法可以直接访问加速度数据来估计你的步数。
其次,当你拿着手机时,加速度计可以检测到身体的轻微振动,可以用来检测心率,甚至预测心率。
飞利浦和布里斯托大学的研究人员曾经在那里Arxiv发表了一篇只使用传感器数据的相关论文,通过算法预测心率。
还有,在公交车或地铁上无聊怎么办?刷社交软件?
还有泄漏的风险。
如果同一辆车上的乘客也打开了与您相同的应用程序,如果该软件读取加速数据,您可以确定您有相同的振动模式,如启动、左转和制动。
即使你关闭了定位权限,如果另一个人没有关闭,你也可以通过他的位置来确定你的位置,哪辆公共汽车或地铁。
更可怕的是,加速度计还可以根据扬声器的声波振动逆向恢复你的声音。
基于深度学习算法,浙江大学网络安全团队实现了手机语音信号的关键字识别和语音重建攻击,成功识别并恢复了加速计信号中的大量敏感语音信息。
文章发表在信息安全四大会议之一NDSS这种攻击的可行性及其严重性得到了证实。
综上所述,加速度计所反映的信息几乎涉及到各个方面……
App实测
Tommy实际检测Facebook等App读取加速度计数据。
把iPhone连接到Xcode打开控制台后:一直在读取加速度计数据。
然而,加速度数据的读取虽然无处不在,但也有解决办法。
目前App加速度计数据只能访问前台,iOS可以阻止后台应用程序读取数据。
退出前台后,阅读行为停止:
所以用完App及时清理前台是个好办法。
对于安卓用户来说,安卓系统在Android 陀螺仪和地磁场传感器地磁场传感器的采样率进行了限制:
虽然还没有完全解决,但已经能够限制采集加速数据还原语音等行为。
因为人声一般是85Hz传感器采样率限制在200Hz如下所述,可完全恢复的语音信号将限制在100Hz以下。
这样可以收集的有用信息就少了。
如果应用程序需要更高的采样频率,则必须声明权限:
不过,针对Tommy也有人对弟弟提出的问题发表了不同意见。
例如,一些网民提出,关键是准确性:
现在计算机可以预测……这样的文章太多了。事实上,任何信息都可以预测一些东西,通常只比盲目猜测好一点……
另一条高赞评论说:
定位和活动监控仍然非常可信,但像心率泄露和声音恢复这样的场景并不能说服我,但知道有这样的事情是很好的。
你怎么看?
参考链接:
[1]https://www.mysk.blog/2021/10/24/accelerometer-ios/[2]https://dl.acm.org/doi/abs/10.1145/3309074.3309076[3]https://icsr.zju.edu.cn/news/images/319.html
最近有朋友让我帮忙找一些面试题所以我翻遍了收藏的资料,所以我翻遍了收藏 5T 资料汇总整理出来,可以说是程序员面试的必备!所有信息都整理到网盘,欢迎下载!
点击卡片,注意后回复【】即可获取