關(guān)閉GPS定位位置信息也會(huì)被追蹤 一項(xiàng)新研究能阻止位置隱私泄露

即使你的手機(jī)關(guān)閉 GPS 定位，你的位置信息也會(huì)被追蹤到。這是因?yàn)槟愕氖謾C(jī)會(huì)向你附近的手機(jī)信號(hào)塔顯示個(gè)人標(biāo)識(shí)符，這樣運(yùn)營(yíng)商就知道了你的位置，并且你的位置數(shù)據(jù)可能會(huì)因此被泄露給第三方的數(shù)據(jù)收集行業(yè)。

美國(guó)南加州大學(xué)和普林斯頓大學(xué)的兩位研究人員找到了一種能夠阻止蜂窩網(wǎng)絡(luò)泄露隱私的方法，能夠使手機(jī)用戶正常使用移動(dòng)網(wǎng)絡(luò)連接的同時(shí)，保護(hù)用戶的位置數(shù)據(jù)等隱私信息。

研究人員稱，所有運(yùn)營(yíng)商都可以采用這種技術(shù)，只需要簡(jiǎn)單的軟件升級(jí)就可以實(shí)現(xiàn)用戶位置信息的保護(hù)，而不必去改變?nèi)魏斡布O(shè)備。

這項(xiàng)新技術(shù)名為“優(yōu)良手機(jī)加密(Pretty Good Phone Privacy，PGPP)”，于 8 月 11 日在 USENIX 安全會(huì)議上展示，研究論文已于 2020 年 9 月 18 日預(yù)發(fā)表在論文預(yù)發(fā)表平臺(tái) arXiv 上，論文以該新技術(shù)命名。

一、你的位置被手機(jī)信號(hào)塔“出賣”了

你有沒(méi)有想過(guò)，為什么你剛剛到達(dá)一個(gè)新城市，就會(huì)收到運(yùn)營(yíng)商的問(wèn)候信息?運(yùn)營(yíng)商是怎么知道你在哪里的?沒(méi)錯(cuò)，就是你身邊的信號(hào)塔“出賣”了你。

每張 SIM 卡都擁有一個(gè)永久的 ID 號(hào)碼，被稱作“國(guó)際移動(dòng)用戶識(shí)別碼(IMSI)”。你的手機(jī)如果想正常工作，它就會(huì)向附近的信號(hào)塔出示自己的 IMSI，這樣運(yùn)營(yíng)商就可以知道你是誰(shuí)、你有沒(méi)有繳費(fèi)以及你在哪個(gè)信號(hào)塔附近。

“當(dāng)你的手機(jī)接受或發(fā)送數(shù)據(jù)時(shí)，無(wú)線電信號(hào)會(huì)從你的手機(jī)發(fā)送到手機(jī)信號(hào)塔，然后進(jìn)入網(wǎng)絡(luò)。網(wǎng)絡(luò)可以獲取所有的數(shù)據(jù)并將其出售給第三方公司或者出租信息的中間商。即使你禁止應(yīng)用程序跟蹤你的位置，手機(jī)仍然可以與信號(hào)塔交換數(shù)據(jù)，這意味著運(yùn)營(yíng)商隨時(shí)都可以知道你在哪里。”論文的作者之一，南加州大學(xué)助理教授 Barath Raghavan 說(shuō)。

在美國(guó)，沒(méi)有任何一條聯(lián)邦法律限制第三方使用用戶的位置數(shù)據(jù)，因此專門買賣用戶數(shù)據(jù)的“數(shù)據(jù)經(jīng)紀(jì)人”和運(yùn)營(yíng)商可以從用戶的位置信息等數(shù)據(jù)中獲利。

據(jù)美國(guó)媒體 WIRED 報(bào)道，美國(guó)的主要運(yùn)營(yíng)商們盡管承諾不會(huì)銷售用戶數(shù)據(jù)，但仍然在暗地里將這些數(shù)據(jù)出售給第三方，直到美國(guó)聯(lián)邦通信委員會(huì)對(duì) AT&T、T-Mobile、Verizon 等運(yùn)營(yíng)商做出了合計(jì)近 2 億美元的罰款才停止了這種行為。

二、給手機(jī)的“身份證”加密，讓用戶匿名上網(wǎng)

為了解決信息泄露的問(wèn)題，Barath Raghavan 同普林斯頓大學(xué)的 Paul Schmitt 一起開(kāi)展了研究。他們發(fā)現(xiàn)，在手機(jī)聯(lián)網(wǎng)過(guò)程中，身份驗(yàn)證環(huán)節(jié)可以和后續(xù)的聯(lián)網(wǎng)相分離，也就是說(shuō)，用戶個(gè)人的身份信息不必接入網(wǎng)絡(luò)。

PGPP 通過(guò)打破用戶手機(jī)和手機(jī)信號(hào)塔之間的直接通信線路來(lái)工作。通過(guò)這一方法，手機(jī)不會(huì)向手機(jī)信號(hào)塔發(fā)送個(gè)人身份信息，而是發(fā)送加密令牌。用戶上網(wǎng)過(guò)程的身份認(rèn)證工作交由 PGPP 網(wǎng)關(guān)來(lái)完成，而不必被上傳至網(wǎng)絡(luò)。

“解決問(wèn)題的關(guān)鍵在于，如果你想匿名，該怎么讓運(yùn)營(yíng)商知道你已經(jīng)繳了費(fèi)。在我們開(kāi)發(fā)的協(xié)議中，用戶支付賬單后可以從服務(wù)提供商那里獲得具有加密簽名的令牌，用戶可以通過(guò)令牌認(rèn)證身份上網(wǎng)。我們的方法讓用戶的身份信息與位置信息相分離，這樣就能使用戶在接入網(wǎng)絡(luò)的過(guò)程中匿名。”Barath Raghavan 說(shuō)。

PGPP 的目標(biāo)是避免使用唯一標(biāo)識(shí)符來(lái)驗(yàn)證客戶和授予網(wǎng)絡(luò)訪問(wèn)權(quán)限。通過(guò)這項(xiàng)技術(shù)，網(wǎng)絡(luò)通過(guò)匿名令牌識(shí)別用戶，而運(yùn)營(yíng)商可以為全部用戶發(fā)放相同的 IMSI 號(hào)碼或者其他任何隨機(jī) ID，這樣就可以避免用戶被人通過(guò)網(wǎng)絡(luò)追蹤。

Barath Raghavan 和 Paul Schmitt 在實(shí)驗(yàn)室中用幾部手機(jī)、一臺(tái)運(yùn)行 Linux 系統(tǒng)的電腦以及一個(gè)無(wú)線電平臺(tái) USRP B210 制作了原型系統(tǒng)，并在手機(jī)中安裝了可編程的 SIM 卡對(duì) PGPP 技術(shù)進(jìn)行了測(cè)試。

他們發(fā)現(xiàn)這種新技術(shù)跟傳統(tǒng)方式相比幾乎沒(méi)有增加任何網(wǎng)絡(luò)延遲，也沒(méi)有給網(wǎng)絡(luò)連接增加多余的負(fù)擔(dān)。運(yùn)營(yíng)商采用這種技術(shù)后，可以在單個(gè)服務(wù)器上處理數(shù)千萬(wàn)用戶的匿名聯(lián)網(wǎng)需求，并且通過(guò)現(xiàn)有網(wǎng)絡(luò)無(wú)縫地部署給客戶。

另外，由于該系統(tǒng)的工作原理是防止信號(hào)塔識(shí)別到用戶身份，從而隱去用戶的位置信息，因此其他基于位置信息的網(wǎng)絡(luò)服務(wù)仍然可以正常使用。

三、PGPP 讓第三方獲取的用戶數(shù)據(jù)失效

為了使這項(xiàng)技術(shù)更好的在美國(guó)的電信公司內(nèi)推廣，Barath Raghavan 和 Paul Schmitt 創(chuàng)辦了一家名為 Invisv 的初創(chuàng)公司。他們說(shuō)，運(yùn)營(yíng)商想要采用這種新開(kāi)發(fā)的技術(shù)很容易，但是就算一切順利，在全美推廣也是個(gè)漫長(zhǎng)的過(guò)程。

不過(guò)他們認(rèn)為只要有幾家運(yùn)營(yíng)商采用了這一技術(shù)，情況就可以產(chǎn)生很大的變化。因?yàn)槿绻徊糠钟脩舻奈恢脭?shù)據(jù)變得不準(zhǔn)確，那么包含這些數(shù)據(jù)的整批數(shù)據(jù)都沒(méi)那么可靠了，也就是說(shuō)這些數(shù)據(jù)對(duì)于想要獲取用戶信息的第三方來(lái)說(shuō)將變得沒(méi)有意義。

研究人員希望這項(xiàng)技術(shù)能夠被主流的運(yùn)營(yíng)商所采用。“地球上的幾乎每個(gè)人都可以被實(shí)時(shí)追蹤，我們不得不默默地接受我們對(duì)自己數(shù)據(jù)控制權(quán)的喪失。我們相信，這項(xiàng)技術(shù)能夠使我們恢復(fù)一部分控制我們個(gè)人數(shù)據(jù)的權(quán)利。”Raghavan 說(shuō)道。

結(jié)語(yǔ)：讓運(yùn)營(yíng)商放棄既得利益，PGPP 推廣充滿波折

長(zhǎng)期以來(lái)隱私保護(hù)一直是公眾熱議的話題，隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，隱私泄露問(wèn)題時(shí)有發(fā)生。

目前已經(jīng)有不少國(guó)家和地區(qū)針對(duì)面部識(shí)別進(jìn)行立法，以保護(hù)公眾的面部數(shù)據(jù)隱私。關(guān)于用戶上網(wǎng)過(guò)程中的身份信息、位置信息等泄露問(wèn)題正引起更多的重視。

美國(guó)部分運(yùn)營(yíng)商曾被爆出出售用戶信息獲利，如果 PGPP 能夠得到推廣，這條利益鏈條便會(huì)被斬?cái)?，顯然這些運(yùn)營(yíng)商們不會(huì)主動(dòng)放棄既得利益。因此，PGPP 要得到推廣必定會(huì)充滿波折。

關(guān)鍵詞： 會(huì)被 追蹤 信息 GPS定位 位置信息 追蹤