你知道嗎���?即使你的手機關閉GPS定位,你的位置信息也會被追蹤到����。這是因為你的手機會向你附近的手機信號塔顯示個人標識符,這樣運營商就知道了你的位置�����,并且你的位置數(shù)據(jù)可能會因此被泄露給第三方的數(shù)據(jù)收集行業(yè)�����。
美國南加州大學和普林斯頓大學的兩位研究人員找到了一種能夠阻止蜂窩網(wǎng)絡泄露隱私的方法�����,能夠使手機用戶正常使用移動網(wǎng)絡連接的同時���,保護用戶的位置數(shù)據(jù)等隱私信息�����。
研究人員稱���,所有運營商都可以采用這種技術,只需要簡單的軟件升級就可以實現(xiàn)用戶位置信息的保護�,而不必去改變?nèi)魏斡布O備。
這項新技術名為“優(yōu)良手機加密(Pretty Good Phone Privacy�����,PGPP)”��,于8月11日在USENIX安全會議上展示����,研究論文已于2020年9月18日預發(fā)表在論文預發(fā)表平臺arXiv上���,論文以該新技術命名。
論文鏈接:https://arxiv.org/pdf/2009.09035.pdf
一��、你的位置被手機信號塔“出賣”了
你有沒有想過�����,為什么你剛剛到達一個新城市����,就會收到運營商的問候信息?運營商是怎么知道你在哪里的�����?沒錯����,就是你身邊的信號塔“出賣”了你。
每張SIM卡都擁有一個永久的ID號碼�,被稱作“國際移動用戶識別碼(IMSI)”。你的手機如果想正常工作�����,它就會向附近的信號塔出示自己的IMSI����,這樣運營商就可以知道你是誰、你有沒有繳費以及你在哪個信號塔附近�。
“當你的手機接受或發(fā)送數(shù)據(jù)時,無線電信號會從你的手機發(fā)送到手機信號塔�����,然后進入網(wǎng)絡��。網(wǎng)絡可以獲取所有的數(shù)據(jù)并將其出售給第三方公司或者出租信息的中間商�����。即使你禁止應用程序跟蹤你的位置�,手機仍然可以與信號塔交換數(shù)據(jù),這意味著運營商隨時都可以知道你在哪里�����?�!闭撐牡淖髡咧?����,南加州大學助理教授Barath Raghavan說。
在美國��,沒有任何一條聯(lián)邦法律限制第三方使用用戶的位置數(shù)據(jù)����,因此專門買賣用戶數(shù)據(jù)的“數(shù)據(jù)經(jīng)紀人”和運營商可以從用戶的位置信息等數(shù)據(jù)中獲利。
據(jù)美國媒體WIRED報道��,美國的主要運營商們盡管承諾不會銷售用戶數(shù)據(jù)�,但仍然在暗地里將這些數(shù)據(jù)出售給第三方,直到美國聯(lián)邦通信委員會對AT&T��、T-Mobile����、Verizon等運營商做出了合計近2億美元的罰款才停止了這種行為。
二�����、給手機的“身份證”加密����,讓用戶匿名上網(wǎng)
為了解決信息泄露的問題�����,Barath Raghavan同普林斯頓大學的Paul Schmitt一起開展了研究。他們發(fā)現(xiàn)�����,在手機聯(lián)網(wǎng)過程中��,身份驗證環(huán)節(jié)可以和后續(xù)的聯(lián)網(wǎng)相分離��,也就是說����,用戶個人的身份信息不必接入網(wǎng)絡。
PGPP通過打破用戶手機和手機信號塔之間的直接通信線路來工作�。通過這一方法,手機不會向手機信號塔發(fā)送個人身份信息�����,而是發(fā)送加密令牌��。用戶上網(wǎng)過程的身份認證工作交由PGPP網(wǎng)關來完成,而不必被上傳至網(wǎng)絡�。
▲手機通過傳統(tǒng)方式上網(wǎng)與通過PGPP上網(wǎng)過程區(qū)別示意圖
“解決問題的關鍵在于,如果你想匿名��,該怎么讓運營商知道你已經(jīng)繳了費����。在我們開發(fā)的協(xié)議中,用戶支付賬單后可以從服務提供商那里獲得具有加密簽名的令牌���,用戶可以通過令牌認證身份上網(wǎng)�����。我們的方法讓用戶的身份信息與位置信息相分離�,這樣就能使用戶在接入網(wǎng)絡的過程中匿名�����?����!盉arath Raghavan說��。
PGPP的目標是避免使用唯一標識符來驗證客戶和授予網(wǎng)絡訪問權限。通過這項技術�,網(wǎng)絡通過匿名令牌識別用戶,而運營商可以為全部用戶發(fā)放相同的IMSI號碼或者其他任何隨機ID�,這樣就可以避免用戶被人通過網(wǎng)絡追蹤。
Barath Raghavan和Paul Schmitt在實驗室中用幾部手機�、一臺運行Linux系統(tǒng)的電腦以及一個無線電平臺USRP B210制作了原型系統(tǒng),并在手機中安裝了可編程的SIM卡對PGPP技術進行了測試����。
他們發(fā)現(xiàn)這種新技術跟傳統(tǒng)方式相比幾乎沒有增加任何網(wǎng)絡延遲��,也沒有給網(wǎng)絡連接增加多余的負擔���。運營商采用這種技術后�����,可以在單個服務器上處理數(shù)千萬用戶的匿名聯(lián)網(wǎng)需求���,并且通過現(xiàn)有網(wǎng)絡無縫地部署給客戶。
另外�,由于該系統(tǒng)的工作原理是防止信號塔識別到用戶身份,從而隱去用戶的位置信息��,因此其他基于位置信息的網(wǎng)絡服務仍然可以正常使用。
▲研究人員組成的測試平臺
三�����、PGPP讓第三方獲取的用戶數(shù)據(jù)失效
為了使這項技術更好的在美國的電信公司內(nèi)推廣�����,Barath Raghavan和Paul Schmitt創(chuàng)辦了一家名為Invisv的初創(chuàng)公司�����。他們說��,運營商想要采用這種新開發(fā)的技術很容易��,但是就算一切順利����,在全美推廣也是個漫長的過程。
不過他們認為只要有幾家運營商采用了這一技術��,情況就可以產(chǎn)生很大的變化�。因為如果一部分用戶的位置數(shù)據(jù)變得不準確,那么包含這些數(shù)據(jù)的整批數(shù)據(jù)都沒那么可靠了�����,也就是說這些數(shù)據(jù)對于想要獲取用戶信息的第三方來說將變得沒有意義。
研究人員希望這項技術能夠被主流的運營商所采用��?����!暗厍蛏系膸缀趺總€人都可以被實時追蹤���,我們不得不默默地接受我們對自己數(shù)據(jù)控制權的喪失�����。我們相信,這項技術能夠使我們恢復一部分控制我們個人數(shù)據(jù)的權利�。”Raghavan說道�。
結語:讓運營商放棄既得利益,PGPP推廣充滿波折
長期以來隱私保護一直是公眾熱議的話題�,隨著互聯(lián)網(wǎng)技術的快速發(fā)展,隱私泄露問題時有發(fā)生�。
目前已經(jīng)有不少國家和地區(qū)針對面部識別進行立法,以保護公眾的面部數(shù)據(jù)隱私����。關于用戶上網(wǎng)過程中的身份信息�����、位置信息等泄露問題正引起更多的重視���。
美國部分運營商曾被爆出出售用戶信息獲利,如果PGPP能夠得到推廣�����,這條利益鏈條便會被斬斷�����,顯然這些運營商們不會主動放棄既得利益��。因此�,PGPP要得到推廣必定會充滿波折。
來源:arXiv�����、Tech Xplore
