手機關了GPS還會被定位?這項新研究能阻止泄露位置隱私

你知道嗎?即使你的手機關閉GPS定位,你的位置信息也會被追蹤到。這是因為你的手機會向你附近的手機信號塔顯示個人標識符,這樣運營商就知道了你的位置,並且你的位置數據可能會因此被泄露給第三方的數據收集行業。

美國南加州大學和普林斯頓大學的兩位研究人員找到了一種能夠阻止蜂窩網絡泄露隱私的方法,能夠使手機用戶正常使用移動網絡連接的同時,保護用戶的位置數據等隱私信息。

研究人員稱,所有運營商都可以採用這種技術,只需要簡單的軟件升級就可以實現用戶位置信息的保護,而不必去改變任何硬件設備。

這項新技術名為“優良手機加密(Pretty Good Phone Privacy,PGPP)”,於8月11日在USENIX安全會議上展示,研究論文已於2020年9月18日預發表在論文預發表平台arXiv上,論文以該新技術命名。

手機關了GPS還會被定位?這項新研究能阻止泄露位置隱私

論文鏈接:https://arxiv.org/pdf/2009.09035.pdf

一、你的位置被手機信號塔“出賣”了

你有沒有想過,為什麼你剛剛到達一個新城市,就會收到運營商的問候信息?運營商是怎麼知道你在哪裡的?沒錯,就是你身邊的信號塔“出賣”了你。

每張SIM卡都擁有一個永久的ID號碼,被稱作“國際移動用戶識別碼(IMSI)”。你的手機如果想正常工作,它就會向附近的信號塔出示自己的IMSI,這樣運營商就可以知道你是誰、你有沒有繳費以及你在哪個信號塔附近。

“當你的手機接受或發送數據時,無線電信號會從你的手機發送到手機信號塔,然後進入網絡。網絡可以獲取所有的數據並將其出售給第三方公司或者出租信息的中間商。即使你禁止應用程序跟蹤你的位置,手機仍然可以與信號塔交換數據,這意味着運營商隨時都可以知道你在哪裡。”論文的作者之一,南加州大學助理教授Barath Raghavan說。

在美國,沒有任何一條聯邦法律限制第三方使用用戶的位置數據,因此專門買賣用戶數據的“數據經紀人”和運營商可以從用戶的位置信息等數據中獲利。

據美國媒體WIRED報道,美國的主要運營商們儘管承諾不會銷售用戶數據,但仍然在暗地裡將這些數據出售給第三方,直到美國聯邦通信委員會對AT&T、T-Mobile、Verizon等運營商做出了合計近2億美元的罰款才停止了這種行為。

二、給手機的“身份證”加密,讓用戶匿名上網

為了解決信息泄露的問題,Barath Raghavan同普林斯頓大學的Paul Schmitt一起開展了研究。他們發現,在手機聯網過程中,身份驗證環節可以和後續的聯網相分離,也就是說,用戶個人的身份信息不必接入網絡。

PGPP通過打破用戶手機和手機信號塔之間的直接通信線路來工作。通過這一方法,手機不會向手機信號塔發送個人身份信息,而是發送加密令牌。用戶上網過程的身份認證工作交由PGPP網關來完成,而不必被上傳至網絡。

手機關了GPS還會被定位?這項新研究能阻止泄露位置隱私
▲手機通過傳統方式上網與通過PGPP上網過程區別示意圖

“解決問題的關鍵在於,如果你想匿名,該怎麼讓運營商知道你已經繳了費。在我們開發的協議中,用戶支付賬單后可以從服務提供商那裡獲得具有加密簽名的令牌,用戶可以通過令牌認證身份上網。我們的方法讓用戶的身份信息與位置信息相分離,這樣就能使用戶在接入網絡的過程中匿名。”Barath Raghavan說。

PGPP的目標是避免使用唯一標識符來驗證客戶和授予網絡訪問權限。通過這項技術,網絡通過匿名令牌識別用戶,而運營商可以為全部用戶發放相同的IMSI號碼或者其他任何隨機ID,這樣就可以避免用戶被人通過網絡追蹤。

Barath Raghavan和Paul Schmitt在實驗室中用幾部手機、一台運行Linux系統的電腦以及一個無線電平台USRP B210製作了原型系統,並在手機中安裝了可編程的SIM卡對PGPP技術進行了測試。

他們發現這種新技術跟傳統方式相比幾乎沒有增加任何網絡延遲,也沒有給網絡連接增加多餘的負擔。運營商採用這種技術后,可以在單個服務器上處理數千萬用戶的匿名聯網需求,並且通過現有網絡無縫地部署給客戶。

另外,由於該系統的工作原理是防止信號塔識別到用戶身份,從而隱去用戶的位置信息,因此其他基於位置信息的網絡服務仍然可以正常使用。

手機關了GPS還會被定位?這項新研究能阻止泄露位置隱私
▲研究人員組成的測試平台

三、PGPP讓第三方獲取的用戶數據失效

為了使這項技術更好的在美國的電信公司內推廣,Barath Raghavan和Paul Schmitt創辦了一家名為Invisv的初創公司。他們說,運營商想要採用這種新開發的技術很容易,但是就算一切順利,在全美推廣也是個漫長的過程。

不過他們認為只要有幾家運營商採用了這一技術,情況就可以產生很大的變化。因為如果一部分用戶的位置數據變得不準確,那麼包含這些數據的整批數據都沒那麼可靠了,也就是說這些數據對於想要獲取用戶信息的第三方來說將變得沒有意義。

研究人員希望這項技術能夠被主流的運營商所採用。“地球上的幾乎每個人都可以被實時追蹤,我們不得不默默地接受我們對自己數據控制權的喪失。我們相信,這項技術能夠使我們恢復一部分控制我們個人數據的權利。”Raghavan說道。

結語:讓運營商放棄既得利益,PGPP推廣充滿波折

長期以來隱私保護一直是公眾熱議的話題,隨着互聯網技術的快速發展,隱私泄露問題時有發生。

目前已經有不少國家和地區針對面部識別進行立法,以保護公眾的面部數據隱私。關於用戶上網過程中的身份信息、位置信息等泄露問題正引起更多的重視。

美國部分運營商曾被爆出出售用戶信息獲利,如果PGPP能夠得到推廣,這條利益鏈條便會被斬斷,顯然這些運營商們不會主動放棄既得利益。因此,PGPP要得到推廣必定會充滿波折。

(0)
上一篇 2021-08-13 22:50
下一篇 2021-08-13 22:50

相关推荐