手機(jī)關(guān)了 GPS 還會(huì)被定位，一項(xiàng)新研究能阻止位置隱私泄露

你知道嗎？即使你的手機(jī)關(guān)閉 GPS 定位，你的位置信息也會(huì)被追蹤到。這是因?yàn)槟愕氖謾C(jī)會(huì)向你附近的手機(jī)信號(hào)塔顯示個(gè)人標(biāo)識(shí)符，這樣運(yùn)營商就知道了你的位置，并且你的位置數(shù)據(jù)可能會(huì)因此被泄露給第三方的數(shù)據(jù)收集行業(yè)。

美國南加州大學(xué)和普林斯頓大學(xué)的兩位研究人員找到了一種能夠阻止蜂窩網(wǎng)絡(luò)泄露隱私的方法，能夠使手機(jī)用戶正常使用移動(dòng)網(wǎng)絡(luò)連接的同時(shí)，保護(hù)用戶的位置數(shù)據(jù)等隱私信息。

研究人員稱，所有運(yùn)營商都可以采用這種技術(shù)，只需要簡單的軟件升級(jí)就可以實(shí)現(xiàn)用戶位置信息的保護(hù)，而不必去改變?nèi)魏斡布O(shè)備。

這項(xiàng)新技術(shù)名為“優(yōu)良手機(jī)加密（Pretty Good Phone Privacy，PGPP）”，于 8 月 11 日在 USENIX 安全會(huì)議上展示，研究論文已于 2020 年 9 月 18 日預(yù)發(fā)表在論文預(yù)發(fā)表平臺(tái) arXiv 上，論文以該新技術(shù)命名。

論文鏈接：https://arxiv.org/pdf/2009.09035.pdf

一、你的位置被手機(jī)信號(hào)塔“出賣”了

你有沒有想過，為什么你剛剛到達(dá)一個(gè)新城市，就會(huì)收到運(yùn)營商的問候信息？運(yùn)營商是怎么知道你在哪里的？沒錯(cuò)，就是你身邊的信號(hào)塔“出賣”了你。

每張 SIM 卡都擁有一個(gè)永久的 ID 號(hào)碼，被稱作“國際移動(dòng)用戶識(shí)別碼（IMSI）”。你的手機(jī)如果想正常工作，它就會(huì)向附近的信號(hào)塔出示自己的 IMSI，這樣運(yùn)營商就可以知道你是誰、你有沒有繳費(fèi)以及你在哪個(gè)信號(hào)塔附近。

“當(dāng)你的手機(jī)接受或發(fā)送數(shù)據(jù)時(shí)，無線電信號(hào)會(huì)從你的手機(jī)發(fā)送到手機(jī)信號(hào)塔，然后進(jìn)入網(wǎng)絡(luò)。網(wǎng)絡(luò)可以獲取所有的數(shù)據(jù)并將其出售給第三方公司或者出租信息的中間商。即使你禁止應(yīng)用程序跟蹤你的位置，手機(jī)仍然可以與信號(hào)塔交換數(shù)據(jù)，這意味著運(yùn)營商隨時(shí)都可以知道你在哪里?！闭撐牡淖髡咧唬霞又荽髮W(xué)助理教授 Barath Raghavan 說。

在美國，沒有任何一條聯(lián)邦法律限制第三方使用用戶的位置數(shù)據(jù)，因此專門買賣用戶數(shù)據(jù)的“數(shù)據(jù)經(jīng)紀(jì)人”和運(yùn)營商可以從用戶的位置信息等數(shù)據(jù)中獲利。

據(jù)美國媒體 WIRED 報(bào)道，美國的主要運(yùn)營商們盡管承諾不會(huì)銷售用戶數(shù)據(jù)，但仍然在暗地里將這些數(shù)據(jù)出售給第三方，直到美國聯(lián)邦通信委員會(huì)對(duì) AT&T、T-Mobile、Verizon 等運(yùn)營商做出了合計(jì)近 2 億美元的罰款才停止了這種行為。

二、給手機(jī)的“身份證”加密，讓用戶匿名上網(wǎng)

為了解決信息泄露的問題，Barath Raghavan 同普林斯頓大學(xué)的 Paul Schmitt 一起開展了研究。他們發(fā)現(xiàn)，在手機(jī)聯(lián)網(wǎng)過程中，身份驗(yàn)證環(huán)節(jié)可以和后續(xù)的聯(lián)網(wǎng)相分離，也就是說，用戶個(gè)人的身份信息不必接入網(wǎng)絡(luò)。

PGPP 通過打破用戶手機(jī)和手機(jī)信號(hào)塔之間的直接通信線路來工作。通過這一方法，手機(jī)不會(huì)向手機(jī)信號(hào)塔發(fā)送個(gè)人身份信息，而是發(fā)送加密令牌。用戶上網(wǎng)過程的身份認(rèn)證工作交由 PGPP 網(wǎng)關(guān)來完成，而不必被上傳至網(wǎng)絡(luò)。

▲ 手機(jī)通過傳統(tǒng)方式上網(wǎng)與通過 PGPP 上網(wǎng)過程區(qū)別示意圖

“解決問題的關(guān)鍵在于，如果你想匿名，該怎么讓運(yùn)營商知道你已經(jīng)繳了費(fèi)。在我們開發(fā)的協(xié)議中，用戶支付賬單后可以從服務(wù)提供商那里獲得具有加密簽名的令牌，用戶可以通過令牌認(rèn)證身份上網(wǎng)。我們的方法讓用戶的身份信息與位置信息相分離，這樣就能使用戶在接入網(wǎng)絡(luò)的過程中匿名?！盉arath Raghavan 說。

PGPP 的目標(biāo)是避免使用唯一標(biāo)識(shí)符來驗(yàn)證客戶和授予網(wǎng)絡(luò)訪問權(quán)限。通過這項(xiàng)技術(shù)，網(wǎng)絡(luò)通過匿名令牌識(shí)別用戶，而運(yùn)營商可以為全部用戶發(fā)放相同的 IMSI 號(hào)碼或者其他任何隨機(jī) ID，這樣就可以避免用戶被人通過網(wǎng)絡(luò)追蹤。

Barath Raghavan 和 Paul Schmitt 在實(shí)驗(yàn)室中用幾部手機(jī)、一臺(tái)運(yùn)行 Linux 系統(tǒng)的電腦以及一個(gè)無線電平臺(tái) USRP B210 制作了原型系統(tǒng)，并在手機(jī)中安裝了可編程的 SIM 卡對(duì) PGPP 技術(shù)進(jìn)行了測試。

他們發(fā)現(xiàn)這種新技術(shù)跟傳統(tǒng)方式相比幾乎沒有增加任何網(wǎng)絡(luò)延遲，也沒有給網(wǎng)絡(luò)連接增加多余的負(fù)擔(dān)。運(yùn)營商采用這種技術(shù)后，可以在單個(gè)服務(wù)器上處理數(shù)千萬用戶的匿名聯(lián)網(wǎng)需求，并且通過現(xiàn)有網(wǎng)絡(luò)無縫地部署給客戶。

另外，由于該系統(tǒng)的工作原理是防止信號(hào)塔識(shí)別到用戶身份，從而隱去用戶的位置信息，因此其他基于位置信息的網(wǎng)絡(luò)服務(wù)仍然可以正常使用。

▲ 研究人員組成的測試平臺(tái)

三、PGPP 讓第三方獲取的用戶數(shù)據(jù)失效

為了使這項(xiàng)技術(shù)更好的在美國的電信公司內(nèi)推廣，Barath Raghavan 和 Paul Schmitt 創(chuàng)辦了一家名為 Invisv 的初創(chuàng)公司。他們說，運(yùn)營商想要采用這種新開發(fā)的技術(shù)很容易，但是就算一切順利，在全美推廣也是個(gè)漫長的過程。

不過他們認(rèn)為只要有幾家運(yùn)營商采用了這一技術(shù)，情況就可以產(chǎn)生很大的變化。因?yàn)槿绻徊糠钟脩舻奈恢脭?shù)據(jù)變得不準(zhǔn)確，那么包含這些數(shù)據(jù)的整批數(shù)據(jù)都沒那么可靠了，也就是說這些數(shù)據(jù)對(duì)于想要獲取用戶信息的第三方來說將變得沒有意義。

研究人員希望這項(xiàng)技術(shù)能夠被主流的運(yùn)營商所采用?！暗厍蛏系膸缀趺總€(gè)人都可以被實(shí)時(shí)追蹤，我們不得不默默地接受我們對(duì)自己數(shù)據(jù)控制權(quán)的喪失。我們相信，這項(xiàng)技術(shù)能夠使我們恢復(fù)一部分控制我們個(gè)人數(shù)據(jù)的權(quán)利?！盧aghavan 說道。

結(jié)語：讓運(yùn)營商放棄既得利益，PGPP 推廣充滿波折

長期以來隱私保護(hù)一直是公眾熱議的話題，隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，隱私泄露問題時(shí)有發(fā)生。

目前已經(jīng)有不少國家和地區(qū)針對(duì)面部識(shí)別進(jìn)行立法，以保護(hù)公眾的面部數(shù)據(jù)隱私。關(guān)于用戶上網(wǎng)過程中的身份信息、位置信息等泄露問題正引起更多的重視。

美國部分運(yùn)營商曾被爆出出售用戶信息獲利，如果 PGPP 能夠得到推廣，這條利益鏈條便會(huì)被斬?cái)啵@然這些運(yùn)營商們不會(huì)主動(dòng)放棄既得利益。因此，PGPP 要得到推廣必定會(huì)充滿波折。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。