作者：赵友茜班级：1602015学号：16020150033

【嵌牛导读】：普林斯顿大学的研究人员开发了一款 App 来印证他们的概念，即使它不访问手机的 GPS 数据，并且在用户有意关闭 GPS 的情况下，也能可靠的跟踪用户。

【嵌牛鼻子】：AI，安全行业

【嵌牛提问】：关掉 GPS 依旧能被追踪，AI 为安全行业带来的是新机会还是新灾难？

【嵌牛正文】：作者：极客公园链接：http://mp.weixin.qq.com/s/RopNKmFuZL68DpLKjgmQRA來源：微信著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。

普林斯顿大学的研究人员开发了一款 App 来印证他们的概念，即使它不访问手机的 GPS 数据，并且在用户有意关闭 GPS 的情况下，也能可靠的跟踪用户。

研究人员表示，这可能实现，因为现在的智能手机配备了大量精确的传感器，这些传感器能够跟踪大量的数据。我们可以通过外部来源（如海拔地图和气象数据）来证实用户的位置并重建用户行为。

关闭 GPS 依旧被追踪，研究人员是如何做到的？

为了证明这种攻击是有可能的，研究人员创建了一个名为 PinMe 的应用程序，他们使用 Galaxy S4 i9500，iPhone 6 和 iPhone 6S 等手机安装了测试程序，均取得了成功。

PinMe 能够在不访问手机 GPS 数据的情况下，重建测试对象的行为。

首先，应用程序能收集用户的 IP 地址和 WiFi 信息，并与全球公共 WiFi 位置数据库进行比对，以此定期确定用户手机的大致位置。

然后，它使用来自陀螺仪、加速度计和高度传感器的数据，来跟踪测试对象的移动速度、行进方向、对象停止时的位置和当前的海拔高度。随后，该应用程序会汇总这些数据，使用预先训练的算法来确定用户的出行方式，如步行、开车、坐火车或者乘飞机。

一旦 PinMe 应用程序确定了用户的初始位置和出行方式，它就能根据公开的地图绘制用户的出行路线。PimMe 使用的就是谷歌和美国地质调查局的地图。

此外，PinMe 还是用温度、湿度和气压传感器的读数，并将这些数据和天气情况进行比较，以验证和加强之前的推断。

研究小组说，App 成功检测到测试对象从费城飞往达拉斯，通过读取海拔和加速度数据，以及手机时钟的时区、两个机场的天气，将推断的飞行时间和公开的航班时间相匹配。

研究人员也承认应用程序并不完美。例如，如果用户在他的移动设备上安装 Tor（匿名网络技术），则 PinMe 应用不能以足够准确度定位用户的地理位置。此外，该应用程序还存在一些问题，例如曼哈顿地区网格状街道格式不统一，如果公开地图数据有问题，结果也可能会变得不准确。

据研究人员在论文中介绍，他们的目的是为了展示，用户无法控制手机传感器带来的危险。如果让第三方应用访问手机数据，哪怕是非关键的，也可能造成巨大的危害。这次攻击有三个特点：（1）应用程序不需要事先知道用户的隐私信息；（2）不需要构建一个特定的用于攻击的数据集；（3）不需要收集数据来提高采样率，让结果更精准。

当信息安全遇到人工智能，是完美结合还是一场新灾难？

据极客公园了解，在这不可思议的方法背后，有人工智能技术的身影。研究人员通过机器学习方法，建立模型来分辨用户的走路、坐车等活动；并通过量身定制的算法，根据每个活动的物理特性，推断出用户的行为。

图 | 四种不同活动期间搜集到的数据（来自研究人员的论文《PinMe: Tracking a Smartphone User around the World.》）

目前，黑客逐渐掌握用人工智能技术，对抗人工智能技术。

在 GeekPwn（极客嘉年华）2017 中，就有这样一项挑战：「AI 仿声验声攻防赛」，选手根据游戏《王者荣耀》里英雄配音者所提供的声音样本，模拟了其声纹特征，合成一段「攻击」语音，对现场声纹识别设备发起攻击，欺骗并通过了「声纹锁」的验证。

今年，绍兴警方破获全国首例利用人工智能的犯罪，黑客利用人工智能识别图片验证码，绕过互联网公司的账户登录安全策略，给网络诈骗、黑客攻击等网络黑产提供犯罪工具。民警向媒体介绍，在此平台被打掉的前 3 个月，已经提供验证码识别服务 259 亿次。

虽然人工智能技术的到来，给信息安全行业带来挑战，但同时也会带来前所未有的优势。某个全球 500 强企业，每天防火墙会产生 30 万条警报，安全人员如何能看得过来？如果不看，遗留了重要信息怎么办？安全人员每天对此疲于奔命。但随着人工智能技术的到来，他们帮助安全人员分析海量警报，找出关键问题，提升了大量效率。

一家名为 KnowBe4 的公司正在建立一个 AI 虚拟助手，为用户提供安全决策上的建议。这也是个全新的方法。

另外，面对使用人工智能模拟声音的欺骗，来自美国的研究人员也提出了新技术，这个技术被称作 VoiceGesture，它使用智能手机传输超出用户脸部的超声波，以此确认声音是否由真实用户发出。

把用户的智能手机变身为一部多普勒雷达，当用户口述密码时，智能手机的扬声器会发出高频声波，然后接收反射回来的声波。

在此过程中你会发现，随着人工智能时代的到来，人们会遭受到意想不到的黑客攻击，其中有很多使用了人工智能技术；最好的，也可能是唯一的防御手段，是基于人工智能的新的解决方案。

就像我们所见过的一样，人工智能军备竞赛即将到来。