技術(shù)
導(dǎo)讀:研究人員稱,所有運(yùn)營(yíng)商都可以采用這種技術(shù),只需要簡(jiǎn)單的軟件升級(jí)就可以實(shí)現(xiàn)用戶位置信息的保護(hù),而不必去改變?nèi)魏斡布O(shè)備。
你知道嗎?即使你的手機(jī)關(guān)閉GPS定位,你的位置信息也會(huì)被追蹤到。這是因?yàn)槟愕氖謾C(jī)會(huì)向你附近的手機(jī)信號(hào)塔顯示個(gè)人標(biāo)識(shí)符,這樣運(yùn)營(yíng)商就知道了你的位置,并且你的位置數(shù)據(jù)可能會(huì)因此被泄露給第三方的數(shù)據(jù)收集行業(yè)。
美國(guó)南加州大學(xué)和普林斯頓大學(xué)的兩位研究人員找到了一種能夠阻止蜂窩網(wǎng)絡(luò)泄露隱私的方法,能夠使手機(jī)用戶正常使用移動(dòng)網(wǎng)絡(luò)連接的同時(shí),保護(hù)用戶的位置數(shù)據(jù)等隱私信息。
研究人員稱,所有運(yùn)營(yíng)商都可以采用這種技術(shù),只需要簡(jiǎn)單的軟件升級(jí)就可以實(shí)現(xiàn)用戶位置信息的保護(hù),而不必去改變?nèi)魏斡布O(shè)備。
這項(xiàng)新技術(shù)名為“優(yōu)良手機(jī)加密(Pretty Good Phone Privacy,PGPP)”,于8月11日在USENIX安全會(huì)議上展示,研究論文已于2020年9月18日預(yù)發(fā)表在論文預(yù)發(fā)表平臺(tái)arXiv上,論文以該新技術(shù)命名。
論文鏈接:https://arxiv.org/pdf/2009.09035.pdf
一、你的位置被手機(jī)信號(hào)塔“出賣”了
你有沒(méi)有想過(guò),為什么你剛剛到達(dá)一個(gè)新城市,就會(huì)收到運(yùn)營(yíng)商的問(wèn)候信息?運(yùn)營(yíng)商是怎么知道你在哪里的?沒(méi)錯(cuò),就是你身邊的信號(hào)塔“出賣”了你。
每張SIM卡都擁有一個(gè)永久的ID號(hào)碼,被稱作“國(guó)際移動(dòng)用戶識(shí)別碼(IMSI)”。你的手機(jī)如果想正常工作,它就會(huì)向附近的信號(hào)塔出示自己的IMSI,這樣運(yùn)營(yíng)商就可以知道你是誰(shuí)、你有沒(méi)有繳費(fèi)以及你在哪個(gè)信號(hào)塔附近。
“當(dāng)你的手機(jī)接受或發(fā)送數(shù)據(jù)時(shí),無(wú)線電信號(hào)會(huì)從你的手機(jī)發(fā)送到手機(jī)信號(hào)塔,然后進(jìn)入網(wǎng)絡(luò)。網(wǎng)絡(luò)可以獲取所有的數(shù)據(jù)并將其出售給第三方公司或者出租信息的中間商。即使你禁止應(yīng)用程序跟蹤你的位置,手機(jī)仍然可以與信號(hào)塔交換數(shù)據(jù),這意味著運(yùn)營(yíng)商隨時(shí)都可以知道你在哪里?!闭撐牡淖髡咧?,南加州大學(xué)助理教授Barath Raghavan說(shuō)。
在美國(guó),沒(méi)有任何一條聯(lián)邦法律限制第三方使用用戶的位置數(shù)據(jù),因此專門買賣用戶數(shù)據(jù)的“數(shù)據(jù)經(jīng)紀(jì)人”和運(yùn)營(yíng)商可以從用戶的位置信息等數(shù)據(jù)中獲利。
據(jù)美國(guó)媒體WIRED報(bào)道,美國(guó)的主要運(yùn)營(yíng)商們盡管承諾不會(huì)銷售用戶數(shù)據(jù),但仍然在暗地里將這些數(shù)據(jù)出售給第三方,直到美國(guó)聯(lián)邦通信委員會(huì)對(duì)AT&T、T-Mobile、Verizon等運(yùn)營(yíng)商做出了合計(jì)近2億美元的罰款才停止了這種行為。
二、給手機(jī)的“身份證”加密,讓用戶匿名上網(wǎng)
為了解決信息泄露的問(wèn)題,Barath Raghavan同普林斯頓大學(xué)的Paul Schmitt一起開展了研究。他們發(fā)現(xiàn),在手機(jī)聯(lián)網(wǎng)過(guò)程中,身份驗(yàn)證環(huán)節(jié)可以和后續(xù)的聯(lián)網(wǎng)相分離,也就是說(shuō),用戶個(gè)人的身份信息不必接入網(wǎng)絡(luò)。
PGPP通過(guò)打破用戶手機(jī)和手機(jī)信號(hào)塔之間的直接通信線路來(lái)工作。通過(guò)這一方法,手機(jī)不會(huì)向手機(jī)信號(hào)塔發(fā)送個(gè)人身份信息,而是發(fā)送加密令牌。用戶上網(wǎng)過(guò)程的身份認(rèn)證工作交由PGPP網(wǎng)關(guān)來(lái)完成,而不必被上傳至網(wǎng)絡(luò)。
▲手機(jī)通過(guò)傳統(tǒng)方式上網(wǎng)與通過(guò)PGPP上網(wǎng)過(guò)程區(qū)別示意圖
“解決問(wèn)題的關(guān)鍵在于,如果你想匿名,該怎么讓運(yùn)營(yíng)商知道你已經(jīng)繳了費(fèi)。在我們開發(fā)的協(xié)議中,用戶支付賬單后可以從服務(wù)提供商那里獲得具有加密簽名的令牌,用戶可以通過(guò)令牌認(rèn)證身份上網(wǎng)。我們的方法讓用戶的身份信息與位置信息相分離,這樣就能使用戶在接入網(wǎng)絡(luò)的過(guò)程中匿名?!盉arath Raghavan說(shuō)。
PGPP的目標(biāo)是避免使用唯一標(biāo)識(shí)符來(lái)驗(yàn)證客戶和授予網(wǎng)絡(luò)訪問(wèn)權(quán)限。通過(guò)這項(xiàng)技術(shù),網(wǎng)絡(luò)通過(guò)匿名令牌識(shí)別用戶,而運(yùn)營(yíng)商可以為全部用戶發(fā)放相同的IMSI號(hào)碼或者其他任何隨機(jī)ID,這樣就可以避免用戶被人通過(guò)網(wǎng)絡(luò)追蹤。
Barath Raghavan和Paul Schmitt在實(shí)驗(yàn)室中用幾部手機(jī)、一臺(tái)運(yùn)行Linux系統(tǒng)的電腦以及一個(gè)無(wú)線電平臺(tái)USRP B210制作了原型系統(tǒng),并在手機(jī)中安裝了可編程的SIM卡對(duì)PGPP技術(shù)進(jìn)行了測(cè)試。
他們發(fā)現(xiàn)這種新技術(shù)跟傳統(tǒng)方式相比幾乎沒(méi)有增加任何網(wǎng)絡(luò)延遲,也沒(méi)有給網(wǎng)絡(luò)連接增加多余的負(fù)擔(dān)。運(yùn)營(yíng)商采用這種技術(shù)后,可以在單個(gè)服務(wù)器上處理數(shù)千萬(wàn)用戶的匿名聯(lián)網(wǎng)需求,并且通過(guò)現(xiàn)有網(wǎng)絡(luò)無(wú)縫地部署給客戶。
另外,由于該系統(tǒng)的工作原理是防止信號(hào)塔識(shí)別到用戶身份,從而隱去用戶的位置信息,因此其他基于位置信息的網(wǎng)絡(luò)服務(wù)仍然可以正常使用。
▲研究人員組成的測(cè)試平臺(tái)
三、PGPP讓第三方獲取的用戶數(shù)據(jù)失效
為了使這項(xiàng)技術(shù)更好的在美國(guó)的電信公司內(nèi)推廣,Barath Raghavan和Paul Schmitt創(chuàng)辦了一家名為Invisv的初創(chuàng)公司。他們說(shuō),運(yùn)營(yíng)商想要采用這種新開發(fā)的技術(shù)很容易,但是就算一切順利,在全美推廣也是個(gè)漫長(zhǎng)的過(guò)程。
不過(guò)他們認(rèn)為只要有幾家運(yùn)營(yíng)商采用了這一技術(shù),情況就可以產(chǎn)生很大的變化。因?yàn)槿绻徊糠钟脩舻奈恢脭?shù)據(jù)變得不準(zhǔn)確,那么包含這些數(shù)據(jù)的整批數(shù)據(jù)都沒(méi)那么可靠了,也就是說(shuō)這些數(shù)據(jù)對(duì)于想要獲取用戶信息的第三方來(lái)說(shuō)將變得沒(méi)有意義。
研究人員希望這項(xiàng)技術(shù)能夠被主流的運(yùn)營(yíng)商所采用。“地球上的幾乎每個(gè)人都可以被實(shí)時(shí)追蹤,我們不得不默默地接受我們對(duì)自己數(shù)據(jù)控制權(quán)的喪失。我們相信,這項(xiàng)技術(shù)能夠使我們恢復(fù)一部分控制我們個(gè)人數(shù)據(jù)的權(quán)利?!盧aghavan說(shuō)道。
結(jié)語(yǔ):讓運(yùn)營(yíng)商放棄既得利益,PGPP推廣充滿波折
長(zhǎng)期以來(lái)隱私保護(hù)一直是公眾熱議的話題,隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展,隱私泄露問(wèn)題時(shí)有發(fā)生。
目前已經(jīng)有不少國(guó)家和地區(qū)針對(duì)面部識(shí)別進(jìn)行立法,以保護(hù)公眾的面部數(shù)據(jù)隱私。關(guān)于用戶上網(wǎng)過(guò)程中的身份信息、位置信息等泄露問(wèn)題正引起更多的重視。
美國(guó)部分運(yùn)營(yíng)商曾被爆出出售用戶信息獲利,如果PGPP能夠得到推廣,這條利益鏈條便會(huì)被斬?cái)啵@然這些運(yùn)營(yíng)商們不會(huì)主動(dòng)放棄既得利益。因此,PGPP要得到推廣必定會(huì)充滿波折。
來(lái)源:arXiv、Tech Xplore