導(dǎo)讀:研究人員稱,所有運營商都可以采用這種技術(shù),只需要簡單的軟件升級就可以實現(xiàn)用戶位置信息的保護(hù),而不必去改變?nèi)魏斡布O(shè)備。
你知道嗎?即使你的手機關(guān)閉GPS定位,你的位置信息也會被追蹤到。這是因為你的手機會向你附近的手機信號塔顯示個人標(biāo)識符,這樣運營商就知道了你的位置,并且你的位置數(shù)據(jù)可能會因此被泄露給第三方的數(shù)據(jù)收集行業(yè)。
美國南加州大學(xué)和普林斯頓大學(xué)的兩位研究人員找到了一種能夠阻止蜂窩網(wǎng)絡(luò)泄露隱私的方法,能夠使手機用戶正常使用移動網(wǎng)絡(luò)連接的同時,保護(hù)用戶的位置數(shù)據(jù)等隱私信息。
研究人員稱,所有運營商都可以采用這種技術(shù),只需要簡單的軟件升級就可以實現(xiàn)用戶位置信息的保護(hù),而不必去改變?nèi)魏斡布O(shè)備。
這項新技術(shù)名為“優(yōu)良手機加密(Pretty Good Phone Privacy,PGPP)”,于8月11日在USENIX安全會議上展示,研究論文已于2020年9月18日預(yù)發(fā)表在論文預(yù)發(fā)表平臺arXiv上,論文以該新技術(shù)命名。
論文鏈接:https://arxiv.org/pdf/2009.09035.pdf
一、你的位置被手機信號塔“出賣”了
你有沒有想過,為什么你剛剛到達(dá)一個新城市,就會收到運營商的問候信息?運營商是怎么知道你在哪里的?沒錯,就是你身邊的信號塔“出賣”了你。
每張SIM卡都擁有一個永久的ID號碼,被稱作“國際移動用戶識別碼(IMSI)”。你的手機如果想正常工作,它就會向附近的信號塔出示自己的IMSI,這樣運營商就可以知道你是誰、你有沒有繳費以及你在哪個信號塔附近。
“當(dāng)你的手機接受或發(fā)送數(shù)據(jù)時,無線電信號會從你的手機發(fā)送到手機信號塔,然后進(jìn)入網(wǎng)絡(luò)。網(wǎng)絡(luò)可以獲取所有的數(shù)據(jù)并將其出售給第三方公司或者出租信息的中間商。即使你禁止應(yīng)用程序跟蹤你的位置,手機仍然可以與信號塔交換數(shù)據(jù),這意味著運營商隨時都可以知道你在哪里?!闭撐牡淖髡咧唬霞又荽髮W(xué)助理教授Barath Raghavan說。
在美國,沒有任何一條聯(lián)邦法律限制第三方使用用戶的位置數(shù)據(jù),因此專門買賣用戶數(shù)據(jù)的“數(shù)據(jù)經(jīng)紀(jì)人”和運營商可以從用戶的位置信息等數(shù)據(jù)中獲利。
據(jù)美國媒體WIRED報道,美國的主要運營商們盡管承諾不會銷售用戶數(shù)據(jù),但仍然在暗地里將這些數(shù)據(jù)出售給第三方,直到美國聯(lián)邦通信委員會對AT&T、T-Mobile、Verizon等運營商做出了合計近2億美元的罰款才停止了這種行為。
二、給手機的“身份證”加密,讓用戶匿名上網(wǎng)
為了解決信息泄露的問題,Barath Raghavan同普林斯頓大學(xué)的Paul Schmitt一起開展了研究。他們發(fā)現(xiàn),在手機聯(lián)網(wǎng)過程中,身份驗證環(huán)節(jié)可以和后續(xù)的聯(lián)網(wǎng)相分離,也就是說,用戶個人的身份信息不必接入網(wǎng)絡(luò)。
PGPP通過打破用戶手機和手機信號塔之間的直接通信線路來工作。通過這一方法,手機不會向手機信號塔發(fā)送個人身份信息,而是發(fā)送加密令牌。用戶上網(wǎng)過程的身份認(rèn)證工作交由PGPP網(wǎng)關(guān)來完成,而不必被上傳至網(wǎng)絡(luò)。
▲手機通過傳統(tǒng)方式上網(wǎng)與通過PGPP上網(wǎng)過程區(qū)別示意圖
“解決問題的關(guān)鍵在于,如果你想匿名,該怎么讓運營商知道你已經(jīng)繳了費。在我們開發(fā)的協(xié)議中,用戶支付賬單后可以從服務(wù)提供商那里獲得具有加密簽名的令牌,用戶可以通過令牌認(rèn)證身份上網(wǎng)。我們的方法讓用戶的身份信息與位置信息相分離,這樣就能使用戶在接入網(wǎng)絡(luò)的過程中匿名?!盉arath Raghavan說。
PGPP的目標(biāo)是避免使用唯一標(biāo)識符來驗證客戶和授予網(wǎng)絡(luò)訪問權(quán)限。通過這項技術(shù),網(wǎng)絡(luò)通過匿名令牌識別用戶,而運營商可以為全部用戶發(fā)放相同的IMSI號碼或者其他任何隨機ID,這樣就可以避免用戶被人通過網(wǎng)絡(luò)追蹤。
Barath Raghavan和Paul Schmitt在實驗室中用幾部手機、一臺運行Linux系統(tǒng)的電腦以及一個無線電平臺USRP B210制作了原型系統(tǒng),并在手機中安裝了可編程的SIM卡對PGPP技術(shù)進(jìn)行了測試。
他們發(fā)現(xiàn)這種新技術(shù)跟傳統(tǒng)方式相比幾乎沒有增加任何網(wǎng)絡(luò)延遲,也沒有給網(wǎng)絡(luò)連接增加多余的負(fù)擔(dān)。運營商采用這種技術(shù)后,可以在單個服務(wù)器上處理數(shù)千萬用戶的匿名聯(lián)網(wǎng)需求,并且通過現(xiàn)有網(wǎng)絡(luò)無縫地部署給客戶。
另外,由于該系統(tǒng)的工作原理是防止信號塔識別到用戶身份,從而隱去用戶的位置信息,因此其他基于位置信息的網(wǎng)絡(luò)服務(wù)仍然可以正常使用。
▲研究人員組成的測試平臺
三、PGPP讓第三方獲取的用戶數(shù)據(jù)失效
為了使這項技術(shù)更好的在美國的電信公司內(nèi)推廣,Barath Raghavan和Paul Schmitt創(chuàng)辦了一家名為Invisv的初創(chuàng)公司。他們說,運營商想要采用這種新開發(fā)的技術(shù)很容易,但是就算一切順利,在全美推廣也是個漫長的過程。
不過他們認(rèn)為只要有幾家運營商采用了這一技術(shù),情況就可以產(chǎn)生很大的變化。因為如果一部分用戶的位置數(shù)據(jù)變得不準(zhǔn)確,那么包含這些數(shù)據(jù)的整批數(shù)據(jù)都沒那么可靠了,也就是說這些數(shù)據(jù)對于想要獲取用戶信息的第三方來說將變得沒有意義。
研究人員希望這項技術(shù)能夠被主流的運營商所采用?!暗厍蛏系膸缀趺總€人都可以被實時追蹤,我們不得不默默地接受我們對自己數(shù)據(jù)控制權(quán)的喪失。我們相信,這項技術(shù)能夠使我們恢復(fù)一部分控制我們個人數(shù)據(jù)的權(quán)利?!盧aghavan說道。
結(jié)語:讓運營商放棄既得利益,PGPP推廣充滿波折
長期以來隱私保護(hù)一直是公眾熱議的話題,隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展,隱私泄露問題時有發(fā)生。
目前已經(jīng)有不少國家和地區(qū)針對面部識別進(jìn)行立法,以保護(hù)公眾的面部數(shù)據(jù)隱私。關(guān)于用戶上網(wǎng)過程中的身份信息、位置信息等泄露問題正引起更多的重視。
美國部分運營商曾被爆出出售用戶信息獲利,如果PGPP能夠得到推廣,這條利益鏈條便會被斬斷,顯然這些運營商們不會主動放棄既得利益。因此,PGPP要得到推廣必定會充滿波折。
來源:arXiv、Tech Xplore