手機關了 GPS 還會被定位,一項新研究能阻止位置隱私洩露
你知道嗎?即使你的手機關閉 GPS 定位,你的位置資訊也會被追蹤到。這是因為你的手機會向你附近的手機訊號塔顯示個人識別符號,這樣運營商就知道了你的位置,並且你的位置資料可能會因此被洩露給第三方的資料收集行業。
美國南加州大學和普林斯頓大學的兩位研究人員找到了一種能夠阻止蜂窩網路洩露隱私的方法,能夠使手機使用者正常使用行動網路連線的同時,保護使用者的位置資料等隱私資訊。
研究人員稱,所有運營商都可以採用這種技術,只需要簡單的軟體升級就可以實現使用者位置資訊的保護,而不必去改變任何硬體裝置。
這項新技術名為“優良手機加密(Pretty Good Phone Privacy,PGPP)”,於 8 月 11 日在 USENIX 安全會議上展示,研究論文已於 2020 年 9 月 18 日預發表在論文預發表平臺 arXiv 上,論文以該新技術命名。
論文連結:https://arxiv.org/pdf/2009.09035.pdf
一、你的位置被手機訊號塔“出賣”了
你有沒有想過,為什麼你剛剛到達一個新城市,就會收到運營商的問候資訊?運營商是怎麼知道你在哪裡的?沒錯,就是你身邊的訊號塔“出賣”了你。
每張 SIM 卡都擁有一個永久的 ID 號碼,被稱作“國際移動使用者識別碼(IMSI)”。你的手機如果想正常工作,它就會向附近的訊號塔出示自己的 IMSI,這樣運營商就可以知道你是誰、你有沒有繳費以及你在哪個訊號塔附近。
“當你的手機接受或傳送資料時,無線電訊號會從你的手機發送到手機訊號塔,然後進入網路。網路可以獲取所有的資料並將其出售給第三方公司或者出租資訊的中間商。即使你禁止應用程式跟蹤你的位置,手機仍然可以與訊號塔交換資料,這意味著運營商隨時都可以知道你在哪裡。”論文的作者之一,南加州大學助理教授 Barath Raghavan 說。
在美國,沒有任何一條聯邦法律限制第三方使用使用者的位置資料,因此專門買賣使用者資料的“資料經紀人”和運營商可以從使用者的位置資訊等資料中獲利。
據美國媒體 WIRED 報道,美國的主要運營商們儘管承諾不會銷售使用者資料,但仍然在暗地裡將這些資料出售給第三方,直到美國聯邦通訊委員會對 AT&T、T-Mobile、Verizon 等運營商做出了合計近 2 億美元的罰款才停止了這種行為。
二、給手機的“身份證”加密,讓使用者匿名上網
為了解決資訊洩露的問題,Barath Raghavan 同普林斯頓大學的 Paul Schmitt 一起開展了研究。他們發現,在手機聯網過程中,身份驗證環節可以和後續的聯網相分離
PGPP 通過打破使用者手機和手機訊號塔之間的直接通訊線路來工作。通過這一方法,手機不會向手機訊號塔傳送個人身份資訊,而是傳送加密令牌。使用者上網過程的身份認證工作交由 PGPP 閘道器來完成,而不必被上傳至網路。
▲ 手機通過傳統方式上網與通過 PGPP 上網過程區別示意圖
“解決問題的關鍵在於,如果你想匿名,該怎麼讓運營商知道你已經繳了費。在我們開發的協議中,使用者支付賬單後可以從服務提供商那裡獲得具有加密簽名的令牌,使用者可以通過令牌認證身份上網。我們的方法讓使用者的身份資訊與位置資訊相分離,這樣就能使使用者在接入網路的過程中匿名。”Barath Raghavan 說。
PGPP 的目標是避免使用唯一識別符號來驗證客戶和授予網路訪問許可權。通過這項技術,網路通過匿名令牌識別使用者,而運營商可以為全部使用者發放相同的 IMSI 號碼或者其他任何隨機 ID,這樣就可以避免使用者被人通過網路追蹤。
Barath Raghavan 和 Paul Schmitt 在實驗室中用幾部手機、一臺執行 Linux 系統的電腦以及一個無線電平臺 USRP B210 製作了原型系統,並在手機中安裝了可程式設計的 SIM 卡對 PGPP 技術進行了測試。
他們發現這種新技術跟傳統方式相比幾乎沒有增加任何網路延遲,也沒有給網路連線增加多餘的負擔。運營商採用這種技術後,可以在單個伺服器上處理數千萬使用者的匿名聯網需求,並且通過現有網路無縫地部署給客戶。
另外,由於該系統的工作原理是防止訊號塔識別到使用者身份,從而隱去使用者的位置資訊,因此其他基於位置資訊的網路服務仍然可以正常使用。
▲ 研究人員組成的測試平臺
三、PGPP 讓第三方獲取的使用者資料失效
為了使這項技術更好的在美國的電信公司內推廣,Barath Raghavan 和 Paul Schmitt 創辦了一家名為 Invisv 的初創公司。他們說,運營商想要採用這種新開發的技術很容易,但是就算一切順利,在全美推廣也是個漫長的過程。
不過他們認為只要有幾家運營商採用了這一技術,情況就可以產生很大的變化。因為如果一部分使用者的位置資料變得不準確,那麼包含這些資料的整批資料都沒那麼可靠了,也就是說這些資料對於想要獲取使用者資訊的第三方來說將變得沒有意義。
研究人員希望這項技術能夠被主流的運營商所採用。“地球上的幾乎每個人都可以被實時追蹤,我們不得不默默地接受我們對自己資料控制權的喪失。我們相信,這項技術能夠使我們恢復一部分控制我們個人資料的權利。”Raghavan 說道。
結語:讓運營商放棄既得利益,PGPP 推廣充滿波折
長期以來隱私保護一直是公眾熱議的話題,隨著網際網路技術的快速發展,隱私洩露問題時有發生。
目前已經有不少國家和地區針對面部識別進行立法,以保護公眾的面部資料隱私。關於使用者上網過程中的身份資訊、位置資訊等洩露問題正引起更多的重視。
美國部分運營商曾被爆出出售使用者資訊獲利,如果 PGPP 能夠得到推廣,這條利益鏈條便會被斬斷,顯然這些運營商們不會主動放棄既得利益。因此,PGPP 要得到推廣必定會充滿波折。