监控

4 文章

隔墙有耳:语音助手的危险

俗话说”隔墙有耳”,以前这只是个比喻,而现如今却已成为事实。 “电幕能够同时接收和放送。温斯顿发出的任何声音,只要比极低声的细语大一点,它就可以接收到……当然,没有办法知道,在某一特定的时间里,你的一言一行是否都有人在监视着。”这是乔治•奥威尔所著的《1984》中对老大哥监视装置的描述。 但如果老大哥不是唯一有权访问电幕的会怎么样?如果只要掌握必要技能的人就能监听你的对话呢?如果电幕不只用于政治宣传,还用于播放个性化广告又会怎样,比如你刚刚向配偶抱怨说头痛,就立即看到一个止痛药广告?这一切不再是反乌托邦小说中的情节;它渐渐走进现实 – 听起来有些未来主义色彩,但实际上在不久的将来很有可能变成现实。 如今我们周围已经有处于萌芽状态的电幕,它们的新功能(如语音助手)就十分有能力成为新的威胁。 虚拟助手(如苹果的Siri)可以在智能手机、平板电脑和笔记本电脑上使用,也可以在Amazon Echo或Google Home智能音箱等固定设备上使用。人们通过Siri打开和关闭音乐、查看天气预报、调节室温、在线购物等等,可以做很多很多事情。 这些灵敏的麦克风会带来任何威胁吗?答案是确定无疑的。首先想到的第一种可能性是个人和公司数据泄露。但除此之外,还有另一种可能性,这种可能性让网络犯罪分子更容易借此牟取暴利:你是否在网站上填写表单时口述过你的信用卡号和一次性密码? 智能音箱可以识别语音,即便周围环境嘈杂或有音乐播放也不受影响。你甚至无需说得很清楚,智能音箱就能领会:根据我的经验,常见的Android平板电脑上安装的Google语音助理对于3岁孩子的话语,理解得比他们的父母还要好。 下面关于不同语音助理和智能小工具的几则故事,可能会让你感到既有趣又震惊。科幻作家一直梦想着我们制造出能与其交谈的机器,但即便是他们也完全想不到这些现实生活中发生的情况。 音箱造反 2017年1月,加利福尼亚州圣地亚哥CW6频道播出了一则有趣的新闻,是关于亚马逊Echo音箱(配备Alexa虚拟助手)漏洞的。 节目主持人解释说,该系统无法根据语音来区分不同的人,这意味着Alexa会遵循周围任何人发出的指令。结果,这导致小孩子在网上进行了大量计划外购物,因为他们并不知道要求父母给他们零食和要求Alexa给他们玩具有什么区别。 之后其中一位主持人在节目中说:”我喜欢小女孩,说”Alexa,给我订购一个玩具屋。””随后投诉滚滚而来。整个圣地亚哥地区的人报告称他们的语音助理自发购买了玩具屋。Alexa听到电视节目中的这句话,把它当成了一条指令,并迅速完成该指令。 亚马逊向”Al造反”事件的受害者保证,他们可以取消订单,不用付款。 宣誓作证的小工具 可以监听的小工具对于执法机构来说非常有用,他们可以(通常)重放听到的任何内容。下面是2015年发生在阿肯色州的一则警探故事。 有四个人在一起聚会。他们看足球赛、喝酒、泡澡放松 – 一切都很平常。但第二天早上,房主发现其中一人死在浴缸里。房主很快被当成第一嫌疑人;其他客人都说他们离开得时候,什么事都没发生。 警探留意到家里有很多智能设备:照明和安全系统、气象站和Amazon Echo智能音箱。警方决定向智能音箱提问。警探们希望获得谋杀案当晚的录音。他们要求亚马逊提供相关数据,但据说亚马逊拒绝了。 亚马逊开发商称,Echo不会一直记录声音,只有用户发出唤醒词(默认情况下是Alexa)时才会记录。指令只会在公司服务器上存储有限的一段时间。亚马逊称它们存储指令仅仅是为了改善客户服务,用户可以在自己的帐户设置中手动删除所有记录。 不过,警探又发现了另一台设备并从中收集到了线索。他们将搜集到的证据作为一个…智能水表的证词。被害人死亡后,也就是清晨,水表显示使用了超大量的水。房主声称那个时候他已经睡着了。但调查人员怀疑这些水被用于清洗血迹。 值得注意的是,智能水表的读数似乎并不准确。除了在半夜有极大量用水外,在聚会这一天每小时的用水量不超过40升,但这点水量是装不满浴缸的。被告在接受了StopSmartMeters.org的采访(是的,这是痛恨智能水表的用户创建的网站);他说他认为水表上的时间设置不对。 该案今年已向法院提起诉讼。 电影中的虚拟助手 (剧透警告!)

全局监控:通过无线方式黑客入侵GSM网络

在前几期的GSM系列博文中,有一期我们提到了通过无线方式劫持加密密钥的”都市传奇”故事。其中介绍了不法分子在无需任何物理操作的情况下,就能克隆受害人的SIM卡,即使可能只是短暂的克隆。但问题关键在于Ki码同时保存在本地SIM卡和运营商数据库内,因此按常理来说通过无线方式根本无法盗取。那不法分子到底是如何做到的呢?

如何躲避监控摄像头:过去与未来

如今监控摄像头几乎遍布我们日常生活的各个角落:无论室内还是室外,机场还是火车站,办公室还是商店,几乎无处不在。即便在野外你也无法躲避各种监控摄像头,使得乔治•奥威尔的幻想小说《1984》中描写的情节成为了现实。 对于大多数监控系统而言,循环录制视频只是为了”以防万一”;除此之外并未用作他用。但就在最近情况有所改变,这些录制的视频越来越频繁地被传至各种数据分析系统,因此可能会被用于追踪一些特定人群的行踪。 不言而喻”老大哥们”(见于小说《1984》)可能将侵犯到我们的私生活。你不得不接受政府的”一系列行为”,因为他们是所谓”维持社会秩序”的人。然而如今,生物识别系统正试图变成一种普遍的商业工具,这不仅让我们的个人资金状况彻底暴露,同时还侵犯到了每个人私生活的权利。而这又是另外一回事了。 比如说,你在商店购买一件冬季外套时,商店的监控系统也在将你的视频图像与一些抢匪的照片相对比,并将这些视频图像添加到你的客户资料内。 或者,你去汽车经销商处看新车,你只要一走进去,销售人员就能很快找到你的名字和所有你的个人信息。包括你缺少资金购入新车的信息。 即使去教堂有时也无法幸免。面部识别系统已被用来搜寻经常来教堂的人:事实证明教堂从这些人中募集捐款的概率更高。 这个很不错吧?其实并不尽然,但不存在任何犯罪行为。 如果有天有关你私生活的所有细节内容被许多公司收集并外泄到互联网上,你会作何感想?与黑客入侵Ashley Madison交友网站不同的是,毫无疑问我们每个人都将难以幸免— 这里是与你有关的照片和视频。 大多数国家的法律并未明文禁止将面部识别技术用于商业目的,比如,未禁止随意对街上的行人拍照。越来越的人开始想知道如何才能在这些情况下躲避”无处不在”的监控摄像头,这并不让人感到惊讶。 想要知道更好的躲避摄像头方法,首先需要了解现代的图像分析方法。在某些情况下,有两种主要的方法。 我能看一下你的脸吗 第一种方法是将照片中某些指定标记与预建数据库相比较。这些标记可以是双眼间距、鼻子测量结果以及嘴唇形状评估等等。 这一方法与指纹识别十分相似。样本指纹通常事先采集并保存到数据库内。或许以后,我们还能将陌生人的乳头线与数据库内的样本进行比较。因此,面部识别的先决条件是有要寻找人的高质量照片(光线良好且是全脸照)。 那如何才能获得这些照片呢?来源各不相同。有可能是在制作打折卡时拍的照,也可能是有人扫描了贴有你照片的文档。 要欺骗传统的面部识别系统相对容易些。最简单的方法是低下头并且不要看摄像头。大多数标记只有以特定全脸角度拍摄才能测量,因此脸部倾斜的照片大多数情况下无法提供所需的数据。如果你戴一顶有帽檐的棒球帽,上面的摄像头(通常安装在某个高处位置)将变得毫无用处。 一些专家建议你在走过镜头时做鬼脸。这确实很有效,但却会引起过多的注意。因此这时你需要的是一副墨镜。 墨镜的好处在于能遮住眼睛,而这正是人脸在识别系统中”最有利用价值”的区域之一。普通的透光屈光镜无法掩饰照片上所需的细节,高级算法式就能轻松应对。而大尺寸的不透光眼镜对于传统系统而言却是一个极大挑战。镜像模型同样能借助反射光让摄像头无法拍摄正常图像。 你今晚的样子是… 像Facebook和Google这样的大型公司正在积极开发第二种人体识别方法,但选择的方式不尽相同。该方法基于机器学习算法和自动样本数据下载和上传技术,能将特定照片与所有互联网可用资源相对比。 这是一种更为灵活的方法且更难掩饰。即便用防毒面具将你的脸遮盖得严严实实,也无法保证不会留下一些蛛丝马迹,原因在于类似的系统通常不需要严格的预设标记。 他们可以将任何可用数据用作人体识别:你腿部的形状、你头发秃顶的区域、你的举止形态以及你的衣服等。目前Facebook在实验上有了一定进展:只要有足够数量的样本照片,从任意角度确认个人身份的精确度达到了83%。 这里的关键在于有足够数量用来比较的照片。如果只有一张样本照片的话,即时拍摄到再高质量的图像也很难识别成功。这也是为什么大数据技术和快速互联网搜索算法被推向了科技最前沿。 接下来会戳到广大用户的痛处:我们是否应在互联网上公开发布我们的照片?我们可以忍受Facebook或Google将我们的照片用作营销目的,因为在”大互联网兄弟”的背景下你根本无处可逃。然而,也没有人能阻止任何公司自由访问并在线挖掘需要的数据。 首先假定你的Facebook主页的隐私设置为”仅好友可看”。那在其他人的博文中随机出现你的照片呢?你LinkedIn上的个人资料呢?即使彻底远离社交网络也很难切断所有的照片来源。 对应的解决方案尚不清楚。最有可能的是,政府方面出台更加严格的生物识别市场法规,而社会大众将提高这方面的自我保护意识。 因此,现在是时候将个人照片视作与我们的文档或信用卡扫描同等重要的个人隐私。对于到处炫耀和晒自己照片的行为,我们并不推荐。