扫码订阅《中国信息安全》杂志
权威刊物 重要平台 关键渠道
邮发代号 2-786
● App治理工作组 邓诗智
1.“监听并提取关键字”实现原理探讨
图1 微信的语音转文字功能
图2 科大讯飞的语音识别能力介绍
图3 “关键字提取窃听”可能的实现原理
2.“监听并提取关键字”的可行性分析
为了验证上述原理的可行性,可以将可行性的验证问题分解为两个核心问题:
1. 在用户无感情况下,App能持续录音获取周围声音数据;
图4 无感录音测试App程序(安卓版本)
图5 无感录音测试App录音时无通知
表1 无感录音实验结果
测试条件(录音10分钟) |
实际获取麦克风录音时 |
App置于前台(手机未锁屏) |
10分钟(均采集到数据) |
App置于前台(手机锁屏) |
1分钟(剩余9分钟均未采集到数据) |
App置于后台(手机未锁屏) |
1分钟(剩余9分钟均未采集到数据) |
App置于后台(手机锁屏) |
1分钟(剩余9分钟均未采集到数据) |
(2)可操作性验证:耗电量分析
表2 无感录音实验结果
序号 |
录音文件 (格式/大小) |
采样率 |
比特率 |
录音 时间 |
录音时的外部环境 |
电量消耗 |
1 |
M4a/112.39M |
48khz |
256 kbps 立体声 |
1小时 |
歌曲循环 音量中等 |
6% |
2 |
M4a/20.79M |
8khz |
48 kbps 立体声 |
1小时 |
歌曲循环 音量中等 |
5% |
3 |
3gp |
8khz |
无 |
1小时 |
真实环境 比较安静 |
3%-4% |
4 |
不录音 |
无 |
无 |
1小时 |
真实环境 比较安静 |
1% |
3.观点与建议
综上,App“监听并提取关键字”理论的可行性是存在的,但有如下条件:
1. App自带录音功能,并且获取录音权限;
2. App置于前台,并且不锁屏。
从这个条件来看,用户长期在前台使用的App便具备“监听并提取关键字”的能力。但是,这种行为并不改变其具有“高技术门槛、高商业成本、高法律风险”的本质,是一种性价比很差的模式。
此外,最新的手机操作系统不断强化对“录音”的权限使用的透明性,事实上上述行为的暴露可能性会很大,因此反过来来看其出现的可能性会很小。
有以下具体建议,供大家参考:
1. 更新手机操作系统到最新版本;
2. 使用App发语音、录音等功能时,结束录音后不使用App时,切换到主界面(将App置于后台)或者锁屏。
技术能给我们带来便捷、智能,就会伴随着风险,也就是说,任何技术都有可能被拿来滥用。因此,只是觉得技术有风险,便因噎废食并非解决问题的路径,科学地分析风险、处置风险,将风险控制在可接受范围,技术就能给我们带来进步,创造价值。
更多信息安全资讯
请关注“中国信息安全”
本文始发于微信公众号(中国信息安全):观察 | 探秘App“偷听”(二)低功耗监听并提取关键字的可行性分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论