2019年3·15，《IT时报》抛出的这个终极质疑引发了全社会的关注和自省。

扪心自问，我们每个人好像都曾遇到过这样的情况：刚刚和朋友讨论了什么，打开手机某App就蹦出了它的广告推荐。

例如刚说了想吃新疆菜，外卖App的首页里就神奇地出现了新疆菜的推荐;刚说了要买除螨仪，电商App里就出现了除螨仪广告。

今年3·15，本报再次将目光投向这个与所有手机用户息息相关的话题：难道手机真的在“监听”我吗?手机App是如何拥有“读心术”的?

更加吊诡的是，当你打开手机设置，想要关闭某些App的麦克风权限时，却赫然发现这个App根本没有这一权限。

没有授权麦克风，“偷听”究竟是如何实现的!《IT时报》记者通过采访发现，这并不是天方夜谭，至少有两种目前已被发现的技术手段，完全可以让手机App在未经授权的情况下“偷听”你。

方法1

加速器“窃听”扬声器

特点：

技术实现难度较高，但所窃取到的个人隐私数据全，包括个人身份、地址、密码、声音特点等都可能被全套窃取，且个人手机用户基本无法防范。

生活中难免有这样的场景：用户A正在使用智能手机公开播放一段微信语音，而用户B在使用智能手机拨打电话。

最新研究显示，在二人的手机上同时下载了一个记载用户步数App的情况下，二人的语音信息很有可能正在通过手机加速传感器泄露，被攻击者使用。”

罪魁祸首：加速度传感器

这并不是危言耸听。

用户A和用户B在没有任何授权的情况下，他们各自的语音信息就可能被攻击者利用手机里的扬声器和加速器距离识别并还原成声音信号。

以上发现来源于浙江大学网络空间安全学院院长任奎团队。

近日，在网络与分布式系统安全会议(NDSS)上，浙江大学网络空间安全学院任奎团队、加拿大麦吉尔大学、多伦多大学学者团队展示了一项最新的研究成果。

成果表明，智能手机App可在用户不知情、无需系统授权的情况下，利用手机内置加速度传感器采集手机扬声器所发出声音的震动信号，实现对用户语音的窃听。

加速度传感器是当前智能手机中常见的一种能够测量加速度的传感器，通常由质量块、阻尼器、弹性元件、敏感元件和适调电路等部分组成。

Android和iOS开发者文档中都提供加速度传感器的调用方法

在日常手机应用中，加速度传感器通常被用户测速、记录步数等。

像这类记录步数的App都用到了加速度传感器

非常重要的一点是，测量步数等与之相关的App实际上无需获得用户授权就可以获得智能手机的加速度信息。

因为此前业界普遍认为，手机加速度器无法像麦克风、摄像头、地理位置一样，轻易获得或推断敏感的个人信息，因此App调用手机加速度器读数或是获取相应权限几乎不会遇到任何阻力。

也正因为这样，通过手机加速度器发起的攻击，不仅隐蔽，而且“合法”。

专家解答：三种攻击让个人隐私无处可藏

作为上述研究成果的成员之一，浙江大学“百人计划”研究员、网络空间安全学院博士生导师秦湛表示：

“由于手机中的扬声器和加速度传感器距离十分接近且都安装在同一块主板上，扬声器在播放声音时所产生的震动可以显著地影响手机中加速器的读数。

攻击者可以通过加速度传感器来收集手机发声所引起的震动信号，进而识别甚至还原手机所播放的声音信号。”

通过深度学习算法，该研究实现了语音识别与语音还原两大类，共三种有效的窃听攻击。

第一种攻击：语音密码识别

威胁：能导致网银、银行卡密码等被窃

通过这种技术，攻击者可以识别出智能手机播放过的用户语音中所包含的所有数字和字母信息。