怕手機暴露行蹤? 新研究防堵隱私追蹤

作者 : University of Southern California

即使關閉手機的GPS服務,您的位置也很可能被追蹤到。美國南加州大學(USC)和普林斯頓大學(Princeton University)的研究人員最近發現一種新方法,透過現有的蜂巢式網路,就能阻止這種隱私洩露...

現在,即使關閉GPS服務,您的手機也很可能正在追蹤您的位置。這是因為,為了取得服務,我們的手機會向主要網路營運商擁有的手機基地台顯示個人認證碼。這導致了大量且基本上不受監管的資料採集產業的出現,他們會在未經同意的情況下將用戶的位置數據賣給第三方。

美國南加州大學(University of Southern California;USC)維特比工程學院(Viterbi School of Engineering)和普林斯頓大學(Princeton University)的研究人員最近發現一種使用現有蜂巢式網路以阻止這種隱私洩露的方法。研究人員於8月11日在USENIX安全會議上展示該新系統,它可在提供正常行動連接的同時也保護用戶的行動隱私。

新架構稱為「相當好的電話隱私」(Pretty Good Phone Privacy;PGPP),透過匿名發送個人辨識碼到手機基地台,將手機連接與身份驗證和計費分離。研究人員將這種基於軟體的解決方案描述為「架構變化」,並不至於改變蜂巢式網路硬體。

該研究的共同作者、南加大電腦科學助理教授Barath Raghavan說:「我們不知不覺地默許了手機隱密地追蹤裝置,但直到現在我們也別無選擇——使用行動裝置意味著接受這一追蹤事實。這項研究找到了如何將身份驗證與連接分離的辦法,並且在保持無縫連接的同時確保了個人隱私,這一切都是透過軟體完成的。」

分離身份驗證和電話連接

目前,要讓手機能正常工作,網路必須知道您的位置並將您辨識為付費客戶。因此,裝置始終在追蹤您的身份和位置數據。數據經紀人和主要營運商正是利用該系統而從洩露敏感用戶數據中獲利——然而,迄今為止,在美國,都還沒有任何限制使用位置數據的法規。

因此,Raghavan說:「如今,每當您的手機接收或發送數據時,無線電訊號都會從手機發送到基地台,然後進入網路。網路可以獲取所有數據並將其賣給第三方公司或資訊出租中間商。即使你停止應用程式(App)追蹤你的位置,手機仍然會與基地台通話,這意味著營運商知道你在哪裡。直到現在,這似乎是我們永遠無法解決的根本問題。」

於是,Raghava與另一名共同作者Paul Schmitt一起找到了新方法:他們將所謂的身份驗證——你是誰——與你的電話連接功能分離。其關鍵在於:您的個人辨識碼並沒必要涉及網路連接功能的授權。普林斯頓大學教授Paul Schmitt最近加入了南加大資訊科學研究所。

這套新系統打破了用戶手機和基地台之間的直接通訊線路。它改向蜂巢式基地台發送匿名的「令牌」(token),而非個人辨識碼。其方法是採用行動虛擬網路營運商(如Cricket或Boost)作為代理或中介來實現此目的。

Raghavan說:「關鍵在於——如果你想匿名,營運商要怎麼知道你是付費客戶?因此,在我們開發的協議中,用戶支付帳單,並從供應商取得一個加密簽名的token,這是匿名的。現在,在特定位置的身份與該位置的手機二者是分開的。」

重新取得控制

Raghava與Schmitt還成立了一家名為Invisv的新創公司,他們在實驗室中實際用手機製作原型並進行測試。重要的是,他們的方法幾乎增加了零延遲,而且不至於引發新的瓶頸,因而避免了如同其他匿名網路的性能和可擴展性等問題。這項服務可在單個伺服器上處理數千萬用戶,並經由網路營運商無縫地部署至客戶。

由於該系統的工作原理是阻止手機向基地台辨識其用戶,因此所有其他基於位置的定位服務(如搜尋最近的加油站或追蹤聯絡人)仍照常運作。研究人員希望該技術能夠被主要網路接受為默認值,特別是採取新隱私措施日益的法規壓力日益增加。

Raghavan說:「這是人類歷史上第一次,地球上幾乎每個人都可以被即時追蹤。 直到現在,我們不得不默默地接受失去對自己數據控制權的這種情況——但我們相信這項新系統將有助於恢復部份控制權。」

本文原刊登於EDN China網站

加入LINE@,最新消息一手掌握!

發表評論