作者：趙友茜班級：1602015學號：16020150033

【嵌牛導讀】：普林斯頓大學的研究人員開發(fā)了一款 App 來印證他們的概念，即使它不訪問手機的 GPS 數(shù)據(jù)，并且在用戶有意關閉 GPS 的情況下，也能可靠的跟蹤用戶。

【嵌牛鼻子】：AI，安全行業(yè)

【嵌牛提問】：關掉 GPS 依舊能被追蹤，AI 為安全行業(yè)帶來的是新機會還是新災難？

【嵌牛正文】：作者：極客公園鏈接：http://mp.weixin.qq.com/s/RopNKmFuZL68DpLKjgmQRA來源：微信著作權歸作者所有。商業(yè)轉載請聯(lián)系作者獲得授權，非商業(yè)轉載請注明出處。

普林斯頓大學的研究人員開發(fā)了一款 App 來印證他們的概念，即使它不訪問手機的 GPS 數(shù)據(jù)，并且在用戶有意關閉 GPS 的情況下，也能可靠的跟蹤用戶。

研究人員表示，這可能實現(xiàn)，因為現(xiàn)在的智能手機配備了大量精確的傳感器，這些傳感器能夠跟蹤大量的數(shù)據(jù)。我們可以通過外部來源（如海拔地圖和氣象數(shù)據(jù)）來證實用戶的位置并重建用戶行為。

關閉 GPS 依舊被追蹤，研究人員是如何做到的？

為了證明這種攻擊是有可能的，研究人員創(chuàng)建了一個名為 PinMe 的應用程序，他們使用 Galaxy S4 i9500，iPhone 6 和 iPhone 6S 等手機安裝了測試程序，均取得了成功。

PinMe 能夠在不訪問手機 GPS 數(shù)據(jù)的情況下，重建測試對象的行為。

首先，應用程序能收集用戶的 IP 地址和 WiFi 信息，并與全球公共 WiFi 位置數(shù)據(jù)庫進行比對，以此定期確定用戶手機的大致位置。

然后，它使用來自陀螺儀、加速度計和高度傳感器的數(shù)據(jù)，來跟蹤測試對象的移動速度、行進方向、對象停止時的位置和當前的海拔高度。隨后，該應用程序會匯總這些數(shù)據(jù)，使用預先訓練的算法來確定用戶的出行方式，如步行、開車、坐火車或者乘飛機。

一旦 PinMe 應用程序確定了用戶的初始位置和出行方式，它就能根據(jù)公開的地圖繪制用戶的出行路線。PimMe 使用的就是谷歌和美國地質調查局的地圖。

此外，PinMe 還是用溫度、濕度和氣壓傳感器的讀數(shù)，并將這些數(shù)據(jù)和天氣情況進行比較，以驗證和加強之前的推斷。

研究小組說，App 成功檢測到測試對象從費城飛往達拉斯，通過讀取海拔和加速度數(shù)據(jù)，以及手機時鐘的時區(qū)、兩個機場的天氣，將推斷的飛行時間和公開的航班時間相匹配。

研究人員也承認應用程序并不完美。例如，如果用戶在他的移動設備上安裝 Tor（匿名網絡技術），則 PinMe 應用不能以足夠準確度定位用戶的地理位置。此外，該應用程序還存在一些問題，例如曼哈頓地區(qū)網格狀街道格式不統(tǒng)一，如果公開地圖數(shù)據(jù)有問題，結果也可能會變得不準確。

據(jù)研究人員在論文中介紹，他們的目的是為了展示，用戶無法控制手機傳感器帶來的危險。如果讓第三方應用訪問手機數(shù)據(jù)，哪怕是非關鍵的，也可能造成巨大的危害。這次攻擊有三個特點：（1）應用程序不需要事先知道用戶的隱私信息；（2）不需要構建一個特定的用于攻擊的數(shù)據(jù)集；（3）不需要收集數(shù)據(jù)來提高采樣率，讓結果更精準。

當信息安全遇到人工智能，是完美結合還是一場新災難？

據(jù)極客公園了解，在這不可思議的方法背后，有人工智能技術的身影。研究人員通過機器學習方法，建立模型來分辨用戶的走路、坐車等活動；并通過量身定制的算法，根據(jù)每個活動的物理特性，推斷出用戶的行為。

圖 | 四種不同活動期間搜集到的數(shù)據(jù)（來自研究人員的論文《PinMe: Tracking a Smartphone User around the World.》）

目前，黑客逐漸掌握用人工智能技術，對抗人工智能技術。

在 GeekPwn（極客嘉年華）2017 中，就有這樣一項挑戰(zhàn)：「AI 仿聲驗聲攻防賽」，選手根據(jù)游戲《王者榮耀》里英雄配音者所提供的聲音樣本，模擬了其聲紋特征，合成一段「攻擊」語音，對現(xiàn)場聲紋識別設備發(fā)起攻擊，欺騙并通過了「聲紋鎖」的驗證。

今年，紹興警方破獲全國首例利用人工智能的犯罪，黑客利用人工智能識別圖片驗證碼，繞過互聯(lián)網公司的賬戶登錄安全策略，給網絡詐騙、黑客攻擊等網絡黑產提供犯罪工具。民警向媒體介紹，在此平臺被打掉的前 3 個月，已經提供驗證碼識別服務 259 億次。

雖然人工智能技術的到來，給信息安全行業(yè)帶來挑戰(zhàn)，但同時也會帶來前所未有的優(yōu)勢。某個全球 500 強企業(yè)，每天防火墻會產生 30 萬條警報，安全人員如何能看得過來？如果不看，遺留了重要信息怎么辦？安全人員每天對此疲于奔命。但隨著人工智能技術的到來，他們幫助安全人員分析海量警報，找出關鍵問題，提升了大量效率。

一家名為 KnowBe4 的公司正在建立一個 AI 虛擬助手，為用戶提供安全決策上的建議。這也是個全新的方法。

另外，面對使用人工智能模擬聲音的欺騙，來自美國的研究人員也提出了新技術，這個技術被稱作 VoiceGesture，它使用智能手機傳輸超出用戶臉部的超聲波，以此確認聲音是否由真實用戶發(fā)出。

把用戶的智能手機變身為一部多普勒雷達，當用戶口述密碼時，智能手機的揚聲器會發(fā)出高頻聲波，然后接收反射回來的聲波。

在此過程中你會發(fā)現(xiàn)，隨著人工智能時代的到來，人們會遭受到意想不到的黑客攻擊，其中有很多使用了人工智能技術；最好的，也可能是唯一的防御手段，是基于人工智能的新的解決方案。

就像我們所見過的一樣，人工智能軍備競賽即將到來。