한국어 
English
Français
Deutsch
Español
Italiano
Português
日本語
Русский
연구원들이 안드로이드 스마트폰을 해킹하고 보안 위험을 찾아냈습니다.
고급 스마트폰 기능은 특히 건강 및 엔터테인먼트 분야에서 자신의 장치에서 더 많은 것을 원하는 사용자를 끌어들입니다. 그러나 이러한 기능이 실제 전화를 걸거나 받을 때 보안 위험을 초래합니까? 텍사스 A&M 대학교와 기타 4개 기관의 학술 연구진으로 구성된 팀이 이 질문에 답하기 위해 악성 소프트웨어, 즉 맬웨어를 만들었습니다.
EarSpy라고 불리는 연구원의 악성 코드는 기계 학습 알고리즘을 사용하여 Android 스마트폰의 자체 동작 센서에 의해 기록된 이어 스피커 진동 데이터에서 놀라운 양의 발신자 정보를 필터링했으며, 안전 장치를 극복하거나 사용자 권한이 필요하지 않았습니다.
텍사스 A&M 컴퓨터공학과 박사과정 학생인 아메드 탄비르 마흐다드(Ahmed Tanvir Mahdad)는 “휴대폰에 대한 표준 공격은 마이크를 두드려 음성을 녹음하는 것입니다.”라고 말했습니다. “우리는 음성과 직접적인 관련이 없는 모션 센서 데이터를 기록하고, 부채널 공격에서 발신자 정보를 탐지하고 있습니다.”
Mahdad는 프로젝트 결과를 설명하는 2022년 12월에 출판된 논문인 'EarSpy: 스마트폰 이어 스피커의 작은 진동을 통해 발신자 음성 및 신원 감시'의 주요 저자였습니다. 국립과학재단(National Science Foundation)이 연구에 자금을 지원했습니다.
스마트폰 상단에 있는 이어 스피커는 전통적으로 크기가 작아 대화 중에 낮은 음압을 발생시킵니다. 이러한 진동은 전화기를 사용자의 귀에 대고 누를 때 선명도를 향상시킵니다. 스피커는 크기와 작동 방식으로 인해 도청에 적합한 소스로 간주되지 않습니다. 그러나 일부 제조업체는 더 큰 이어 스피커가 방출하는 진동 데이터의 양을 고려하지 않고 비디오 및 스트리밍에 필요한 스테레오 사운드를 생성하기 위해 이러한 작은 스피커를 더 큰 스피커로 교체하고 있습니다. 스마트폰에는 사용자 운동과 위치를 추적하는 진동 데이터를 기록하는 가속도계라는 모션 센서가 장착되어 있기 때문에 이로 인해 이어 스피커 진동도 기록되어 잠재적으로 손상될 수 있는 상황이 발생했습니다.
연구원들은 디자인이 유사하고 Android 운영 체제를 사용하며 강력한 이어 스피커를 갖춘 최신 스마트폰 두 대를 선택했습니다. 녹음된 음성은 사용자가 듣기에 편안한 볼륨으로 이어 스피커를 통해서만 재생되었습니다. 그런 다음 연구원들은 EarSpy를 사용하여 휴대폰의 가속도계 데이터를 분석했습니다. 그들은 EarSpy가 화자가 반복 통화자인지 91.6%의 정확도로 식별하고 화자의 성별을 98.6%의 정확도로 결정할 수 있다는 것을 발견했습니다. 또한 이 악성코드는 음성 숫자, 특히 0부터 9까지의 숫자를 56%의 정확도로 인식했는데, 이는 무작위 추측보다 5배 더 높은 수치입니다.
Mahdad는 “의료 서비스 제공자나 은행의 고객 서비스 담당자와 통화 중인데 신분증이나 신용카드 번호를 알려달라고 요청했다고 가정해 보겠습니다.”라고 말했습니다. “EarSpy 악성 코드가 귀하의 휴대폰에 있는 경우, 공격자는 귀하 휴대폰의 가속도계 데이터에 액세스하고 인터넷 연결을 통해 귀하의 휴대폰에서 데이터를 가져와서 처리하여 이 정보를 추출할 수 있습니다.”
사용자의 명시적인 허가 없이 동작 센서 데이터를 검색할 수 있기 때문에 연구는 Android 스마트폰에 중점을 두었습니다.
이전 연구에 따르면 구형 Android 스마트폰의 작은 귀 스피커에서 유도된 가속도계 데이터에서 음성 특징을 추출하는 것이 어려웠습니다. 연구자들이 선택한 두 개의 최신 전화기에는 점점 더 많은 정보를 제공하는 더 큰 스피커가 있었습니다. 알고리즘은 가속도계 데이터에서 단어 영역의 45-90%를 감지하여 추가 분석에 사용할 수 있습니다. 단어 영역은 배경 소음을 제외하고 통화 중 음성 단어가 포함된 데이터를 나타냅니다. 연구자들은 이 데이터에서 화자의 반복, 성별, 심지어 식별 가능한 단어에 대한 정보를 추출했습니다. 연구원들은 가속도계를 전화기의 다른 위치로 옮기면 기록되는 데이터의 양이 줄어들 수 있지만 기록이 완전히 중단되지는 않을 것이라고 결론지었습니다.
모든 스마트폰 제조업체가 보안 위험을 인식해야 한다는 결과가 나왔으므로 향후 다른 휴대폰에 대한 테스트가 보장될 수도 있습니다.