“双面”充电宝 | 充满电的安全感，要拿隐私来交换？

据央视新闻报道，江苏省南京警方摧毁了一条包括 生产销售定位、窃听、偷拍设备的网络黑色产业链条 ，抓获犯罪嫌疑人28名，缴获相关设备2000多个。这些设备被生产者伪装成 充电宝 ，可以在使用者不知情的情况下，进行 远程定位、轨迹查询、远程录音等，获取使用者隐私 。

这种被改装的充电宝本质上是一种增加了自动录音功能的 GPS 定位器。今年8月，北京一家安防公司被窃听商业机密而竞标失败，蒙受上千万元损失，也是因为藏在座椅下的 GPS 定位器。

在这个案例中，充电宝不仅成为了定位器的伪装外壳，更是设备的供电来源。在设备中加入通话白名单，通过手机 App 给设备发送通话指令，就能让设备自动录音（50分贝及以上的声音），且语音清晰度能赶上打电话。

整个设备的集成模块包括 电池 、 微型麦克风和物联网SIM 卡 。主要由物联网 SIM 卡实时获取、上传位置信息和周边环境信息。物联网 SIM 卡原本是物流公司、智能设备厂家等企业，并不面向个人用户。分析发现，这种设备的集成方案其实与儿童手表的集成方案方式相似，只保留了最基础的功能。而回顾这些年，很多物联网设备或身边其他意想不到的设备都曾成为窃密的工具，或存在被用于窃密的风险。

今年 11 月 16-19 日举行的国际无线传感器网络顶会 ACM SenSys（国际计算机协会智能传感系统大会）上，发布了一篇来自美国马里兰大学和新加坡国立大学的论文，题为 Spying with Your Robot Vacuum Cleaner: Eavesdropping via Lidar Sensors（利用你的扫地机器人进行监视：通过激光雷达传感器窃听）。原理是设置一种新型声音侧信道攻击，将扫地机器人内置的导航组件激光雷达传感器转变成“激光麦克风”。

激光雷达是以发射激光束探测目标的位置、速度等特征量的一种雷达系统。而“激光麦克风”则可以追溯到 1945 年 苏联赠送给当时美国驻苏联大使 Averell Harriman 的精美、巨大的木制美国国徽。这枚国徽最后在苏联驻美国大使的办公室里放了8年，迎来送往过4任大使。而它实际上，就是一种“激光麦克风”，能感知附近物体细微振动，并处理、提取来自声音激光反射的信号、捕捉敏感信息。

不过，智能扫地机器人在实际生活中变成监听器的可能性还是很低的，除了要本地网络访问权，背景噪音、照明、与目标之间的距离等都对最终结果有影响。不过，没有麦克风的设备变成监听器，也不是没有实例。

灯泡电话

今年6月份，以色列本·古里安大学和魏茨曼科学研究院的研究人员揭示了一种名为“灯泡电话”（Lamphone）的远程窃听技术。利用一台笔记本电脑价值不到 1000 美元的望远镜与光电传感器，就能实时监听 25米开外房间里的声音。主要利用的是声音在室内灯泡玻璃表面导致的微小振动。而将悬挂的灯泡用灯罩遮住或者拉上窗帘，就可以避免攻击或提高攻击难度。

2019年，来自密歇根大学&浙江大学的研究团队发布了一项研究成果，通过分析 声波让精密部件振动的规律，获取电压信号与声波的关系，让硬盘实现类似话筒的效果，进而提取人类语音。最后通过数字滤波技术消除干扰，将频率低的噪声信号清除，再通过信号处理计算，还原出人类说的话。这项技术在发布时对75分贝以上的声音有效，且如果想清晰分辨内容，需要音量至少达到85分贝。

如果说上述案例离普通人还很远，那么充电宝“窃听”可以说是一不小心就中招。在千奇百怪的窃密方式中，这是比较简单，但更容易伪装且造成巨大伤害的方式。而搜索淘宝，其实还能看到很多类似的产品，甚至可以“私人订制”。窃密如此低成本且泛滥，但反窃密（窃听、偷拍）却举步维艰。虽然市面上有很多防偷拍、反窃听的设备，但往往适用范围小，或者成本高、使用门槛高等。为了激励研究员研究出更小型化、低成本且便于使用的反窃密工具，极棒连续两年举办 “窃密反窃密挑战赛”， 希望能以纯粹的技术 对公开、已知的技术方案进行独创性改进，并将新方案或新改进实现，从而克服现有窃密与反窃密场景中的问题缺陷，或比公开、已知方案达到更好的效果， 帮助更多人 解决隐私被侵犯的困扰 。 但结果都告诉我们，反窃密之路，仍旧任重而道远 。

在“充电宝窃听”新闻的评论中，网友表露了很多担忧，也提到了几乎人人都遇到过的 “APP 窃听与偷拍” 。APP 超范围收集、强制收集用户个人信息的现象普遍存在，用户拒绝同意甚至无法安装使用。通过调用相关操作系统API获取并收集用户 MAC 地址，通过内嵌的 SDK （软件开发工具包）直接或间接获取用户数据，已经成了诸多手机 APP 的“常规”操作。

值得欣慰的是，今年 11 月，电信终端产业协会发布了 《App用户权益保护测评规范》、《APP收集使用个人信息最小必要评估规范》 等系列标准。对移动互联网行业收集使用用户人脸、通讯录、短信、位置、图片、设备信息、软件列表等个人敏感信息进行规范，落实最小、必要的原则。12 月初， 国家互联网信息办公室公布 《常见类型移动互联网应用程序（App）必要个人信息范围（征求意见稿）》 ，拟对地图导航、网络约车、即时通信等38类常见类型App规定“必要个人信息范围”。这些标准和规范，让我们在隐私保护的道路上看到了曙光。

毕竟，要求人人都是反黑高手是不现实的，只有厂商和监管部门负起了应负的责任，才能打造一个更安全的社会。而这也正是 GeekPwn 的初心所在。