亟须重新审视“加速计数据”
“针对研究发现,我们建议各大手机厂商提高加速度传感器的权限级别,尽量避免各类应用在非必要的情况下采集加速计数据。同时,各大厂商还应限制加速计的采样频率,或通过系统内置滤波器提前过滤掉加速度传感器信号中包含最多语音信息的高频部分。”任奎呼吁,为避免将来出现类似的漏洞,各大手机厂商应重新评估一些传感器的安全性和敏感性,修改操作系统对手机APP调用各种传感器数据的使用权限,从系统层面来考虑杜绝未来的侧信道攻击路径。
目前,在法律法规方面,根据最新的《信息安全技术个人信息安全规范》和《关于开展APP违法违规收集使用个人信息专项治理的公告》,对个人敏感信息的保护主要是对证件号码、银行账户、通信记录等具体的个人敏感信息进行保护,重点治理各类APP运营者违法违规收集个人信息的行为。专家表示,由于加速计数据本身并不属于个人敏感信息,且攻击者可以通过计步软件等必须用到加速计的APP“合理合法”地对加速计数据进行收集。这就意味着,该窃听方式处于一种灰色地带,除了在技术方面需要“打补丁”,在法律层面也亟须一定的规制。
对此,任奎建议,首先应从技术层面加大对移动设备物理层安全的研究投入,了解各类传感器的实际数据采集能力以及可能造成的隐私问题,对可能存在的各类攻击做到心中有数并依此重新设计手机操作系统中各类传感器的权限使用机制,从技术的角度尽可能降低数据被滥用的可能性。在此基础上,应当从法律法规上细化对敏感信息的定义和使用规范。
原标题:浙江大学一研究团队发现手机加速度传感器存在信息泄露风险——手机语音信息泄露须打技术法律“补丁”