日本語 
English
Français
Deutsch
Español
Italiano
Português
한국어
Русский
研究者が Android スマートフォンをハッキングし、セキュリティ リスクを発見
スマートフォンの高度な機能は、特に健康やエンターテイメントの分野で、自分のデバイスをさらに活用したいと考えるユーザーを惹きつけていますが、これらの機能は実際の通話の発信または受信時にセキュリティ リスクを引き起こしますか? テキサス A&M 大学と他の 4 つの機関の学術研究者チームは、その疑問に答えるために悪意のあるソフトウェア、つまりマルウェアを作成しました。
EarSpy と呼ばれる研究者らのマルウェアは、機械学習アルゴリズムを使用して、Android スマートフォン自体のモーション センサーによって記録されたイヤー スピーカーの振動データから驚くほど大量の発信者情報をフィルタリングしました。これは、いかなる安全策も突破せず、またユーザーの許可も必要としませんでした。
「携帯電話への標準的な攻撃では、マイクが盗聴され、音声が録音されます」とテキサスA&Mのコンピューターサイエンス工学部の博士課程学生、アーメド・タンビル・マハダ氏は言う。 「音声とは直接関係のないモーションセンサーデータを記録し、そこからサイドチャネル攻撃で発信者情報を検出しています。」
マハダ氏は、2022年12月に発表されたプロジェクトの結果を説明した論文「EarSpy: Spying Caller Speech and Identity through Tiny Vibrations of Television Ear Speakers」の主著者である。 国立科学財団が研究に資金を提供しました。
スマートフォンの上部にあるイヤースピーカーは従来小型であり、会話中の音圧は低くなります。 これらの振動により、電話機がユーザーの耳に押し付けられたときの明瞭さが向上します。 スピーカーは、そのサイズと機能の理由から、盗聴の良い音源とは見なされません。 しかし、一部のメーカーは、大きなイヤースピーカーが発する振動データの量を考慮せずに、ビデオやストリーミングに必要なステレオサウンドを作成するために、これらの小さなスピーカーを大きなスピーカーに置き換えています。 スマートフォンには、ユーザーの運動や位置を追跡する振動データを記録する加速度計と呼ばれるモーションセンサーが装備されているため、イヤースピーカーの振動も記録され、侵害される可能性がある状況が生じています。
研究者らは、デザインが似ていて、Android オペレーティング システムを使用し、強力なイヤー スピーカーを備えた最近のスマートフォン 2 台を選択しました。 録音された音声は、ユーザーの聴覚に適した音量でイヤースピーカーのみから再生されました。 その後、研究者らは EarSpy を使用して携帯電話の加速度計のデータを分析しました。 彼らは、EarSpy が話者が繰り返し発信者であるかどうかを 91.6% の精度で識別し、話者の性別を 98.6% の精度で判断できることを発見しました。 このマルウェアは、音声による数字、具体的には 0 から 9 までの数字も 56% の精度で認識しました。これは、ランダムな推測より 5 倍高い精度です。
「医療提供者や銀行の顧客サービス担当者と話していて、身分証明書やクレジットカード番号の提供を求められたとします」とマハダ氏は言う。 「EarSpy マルウェアが携帯電話上にあった場合、攻撃者は携帯電話の加速度計データにアクセスし、インターネット接続を通じて携帯電話からデータを取得して処理し、この情報を抽出することができます。」
Android スマートフォンでは、ユーザーからの明示的な許可なしにモーション センサー データを取得できるため、この研究では Android スマートフォンに焦点を当てました。
以前の研究では、古い Android スマートフォンの小さな耳スピーカーによって引き起こされる加速度計データから音声特徴を抽出するのは難しいことが示されています。 研究者たちが選んだ 2 台の新しい携帯電話には、より大きなスピーカーが搭載されており、徐々に多くの情報を提供してくれました。 このアルゴリズムは、加速度計データから単語領域の 45 ~ 90% を検出し、さらなる分析に使用できます。 単語領域とは、背景雑音を除いた、通話中に話された単語を含むデータを指します。 研究者たちは、話者の繰り返し、性別、さらには話された識別可能な単語に関する情報をこのデータから抽出しました。 研究者らは、加速度計を電話機内の別の場所に移動すると、記録されるデータの量は減るかもしれないが、記録が完全に停止するわけではないと結論付けました。
すべてのスマートフォン メーカーがセキュリティ リスクを認識する必要があることが結果から示唆されたため、今後他の携帯電話でのテストが保証される可能性があります。