《手机防御系统下的App超限录音与识别可行性实验报告》发布

随着《个人信息保护法》正式实施三周年，为进一步对公众做好个人信息保护法律法规和知识技能的科普，消弭对个人信息保护方面存在的误解，2024年8月，中国网络安全产业联盟（CCIA）数据安全工作委员会、中国企业报财经研究院等行业组织、媒体智库单位联合启动，并由中国电子技术标准化研究院网安中心测评实验室在2021年初次实验基础上，开展了“手机防御系统下的App超限录音与识别可行性实验”工作，并正式发布《手机防御系统下的App超限录音与识别可行性实验报告》（以下简称《实验报告》）。

在2021年《网络安全法》发布四周年之际，新华社曾对“复现手机App是否通过调用手机麦克风权限或利用侧信道的方式进行"偷听"”的实验进行过报道。（见后文参考文章）彼时的实验结果显示：“偷听”等监听手段虽然在技术层面可以实现，但成本高、效率低、法律风险大，尚未发现主流App这样做。

随着技术不断迭代，App监管举措不断升级，手机操作系统不断优化更新，此次实验由中国电子技术标准化研究院网安中心测评实验室对此前的实验方案进行了升级迭代，并开发了专门的测试App，对测试App调用麦克风情形下状态数据进行提取，分析App“偷听”行为是否可行及普遍存在，以及手机是否有相关的安全机制防止偷听行为发生。

《实验报告》就手机防御系统下App超限录音与识别的可行性得出相关实验成果：

一、如果手机存在被“App偷听”的情况，会有较明显的物理反应，不仅CPU和内存的占用会显著提高，其耗电速度亦相较于正常情况会加快约27%。所以，手机如果被偷听，很容易被大众察觉。

二、目前手机操作系统会通过 “亮点提示”以及“后台一分钟切断机制”等对手机“App偷听”行为进行阻断，使App难以进行偷听行为，更难以维持长期偷听状态。

三、手机麦克风权限只能被当前位于前台的App或者最后一个使用的App占用，因此，如果多款App同时偷听，彼此之间会互相打断，且同样会受到手机操作系统“后台一分钟切断机制”的限制，所以在现实生活中，不管是单一App还是多款App，都难以通过“偷听”的方式去获取用户的个人信息。

本次“手机防御系统下的App超限录音与识别可行性实验”团队的主要成员—中国电子技术标准化研究院网安中心测评实验室副主任何延哲表示，App通过“偷听”来画像性价比超低、法律风险极高且易被发现，通过“偷听”方式进行用户画像在商业逻辑上不成立。同时，也提醒用户要及时更新到最新的手机操作系统版本，新版本系统对于App使用敏感权限会有更好的提示和控制机制。

如今，数据要素流通利用已成为经济发展和社会进步的强大助力，在《个人信息保护法》的贯彻实施和个人信息保护监管不断强化的背景下，引导公众理性看待当前的信息安全环境，树立理性的隐私安全观亦同样重要。此外，随着有关部门对个性化推荐的监管治理的持续推进，合规经营的企业必须有效落实对隐私保护要求，这也为公众的个人信息加上了 “安全锁”。何延哲表示，随着加密、去标识化等安全技术措施以及隐私保护计算等技术的应用，实现了“数据可用可流通但不可见”，个人信息也将更多地被合法合规、合理安全地利用，从而创造更多价值，释放更多红利。

本文转载自https://www.secrss.com/articles/75093

声明：本文来自CCIA数据安全工作委员会，版权归作者所有。文章内容仅代表作者独立观点，不代表极速破译立场，转载目的在于传递更多信息。如有侵权，请联系 jisupoyi@163.com。