手机关了 GPS 还会被定位,一项新研究能阻止位置隐私泄露

你知道吗?即使你的手机关闭 GPS 定位,你的位置信息也会被追踪到。这是因为你的手机会向你附近的手机信号塔显示个人标识符,这样运营商就知道了你的位置,并且你的位置数据可能会因此被泄露给第三方的数据收集行业。

美国南加州大学和普林斯顿大学的两位研究人员找到了一种能够阻止蜂窝网络泄露隐私的方法,能够使手机用户正常使用移动网络连接的同时,保护用户的位置数据等隐私信息。

研究人员称,所有运营商都可以采用这种技术,只需要简单的软件升级就可以实现用户位置信息的保护,而不必去改变任何硬件设备。

这项新技术名为“优良手机加密(Pretty Good Phone Privacy,PGPP)”,于 8 月 11 日在 USENIX 安全会议上展示,研究论文已于 2020 年 9 月 18 日预发表在论文预发表平台 arXiv 上,论文以该新技术命名。

论文链接:https://arxiv.org/pdf/2009.09035.pdf

一、你的位置被手机信号塔“出卖”了

你有没有想过,为什么你刚刚到达一个新城市,就会收到运营商的问候信息?运营商是怎么知道你在哪里的?没错,就是你身边的信号塔“出卖”了你。

每张 SIM 卡都拥有一个永久的 ID 号码,被称作“国际移动用户识别码(IMSI)”。你的手机如果想正常工作,它就会向附近的信号塔出示自己的 IMSI,这样运营商就可以知道你是谁、你有没有缴费以及你在哪个信号塔附近。

“当你的手机接受或发送数据时,无线电信号会从你的手机发送到手机信号塔,然后进入网络。网络可以获取所有的数据并将其出售给第三方公司或者出租信息的中间商。即使你禁止应用程序跟踪你的位置,手机仍然可以与信号塔交换数据,这意味着运营商随时都可以知道你在哪里。”论文的作者之一,南加州大学助理教授 Barath Raghavan 说。

在美国,没有任何一条联邦法律限制第三方使用用户的位置数据,因此专门买卖用户数据的“数据经纪人”和运营商可以从用户的位置信息等数据中获利。

据美国媒体 WIRED 报道,美国的主要运营商们尽管承诺不会销售用户数据,但仍然在暗地里将这些数据出售给第三方,直到美国联邦通信委员会对 AT&T、T-Mobile、Verizon 等运营商做出了合计近 2 亿美元的罚款才停止了这种行为。

二、给手机的“身份证”加密,让用户匿名上网

为了解决信息泄露的问题,Barath Raghavan 同普林斯顿大学的 Paul Schmitt 一起开展了研究。他们发现,在手机联网过程中,身份验证环节可以和后续的联网相分离,也就是说,用户个人的身份信息不必接入网络。

PGPP 通过打破用户手机和手机信号塔之间的直接通信线路来工作。通过这一方法,手机不会向手机信号塔发送个人身份信息,而是发送加密令牌。用户上网过程的身份认证工作交由 PGPP 网关来完成,而不必被上传至网络。

▲ 手机通过传统方式上网与通过 PGPP 上网过程区别示意图

“解决问题的关键在于,如果你想匿名,该怎么让运营商知道你已经缴了费。在我们开发的协议中,用户支付账单后可以从服务提供商那里获得具有加密签名的令牌,用户可以通过令牌认证身份上网。我们的方法让用户的身份信息与位置信息相分离,这样就能使用户在接入网络的过程中匿名。”Barath Raghavan 说。

PGPP 的目标是避免使用唯一标识符来验证客户和授予网络访问权限。通过这项技术,网络通过匿名令牌识别用户,而运营商可以为全部用户发放相同的 IMSI 号码或者其他任何随机 ID,这样就可以避免用户被人通过网络追踪。

Barath Raghavan 和 Paul Schmitt 在实验室中用几部手机、一台运行 Linux 系统的电脑以及一个无线电平台 USRP B210 制作了原型系统,并在手机中安装了可编程的 SIM 卡对 PGPP 技术进行了测试。

他们发现这种新技术跟传统方式相比几乎没有增加任何网络延迟,也没有给网络连接增加多余的负担。运营商采用这种技术后,可以在单个服务器上处理数千万用户的匿名联网需求,并且通过现有网络无缝地部署给客户。

另外,由于该系统的工作原理是防止信号塔识别到用户身份,从而隐去用户的位置信息,因此其他基于位置信息的网络服务仍然可以正常使用。

▲ 研究人员组成的测试平台

三、PGPP 让第三方获取的用户数据失效

为了使这项技术更好的在美国的电信公司内推广,Barath Raghavan 和 Paul Schmitt 创办了一家名为 Invisv 的初创公司。他们说,运营商想要采用这种新开发的技术很容易,但是就算一切顺利,在全美推广也是个漫长的过程

不过他们认为只要有几家运营商采用了这一技术,情况就可以产生很大的变化。因为如果一部分用户的位置数据变得不准确,那么包含这些数据的整批数据都没那么可靠了,也就是说这些数据对于想要获取用户信息的第三方来说将变得没有意义。

研究人员希望这项技术能够被主流的运营商所采用。“地球上的几乎每个人都可以被实时追踪,我们不得不默默地接受我们对自己数据控制权的丧失。我们相信,这项技术能够使我们恢复一部分控制我们个人数据的权利。”Raghavan 说道。

结语:让运营商放弃既得利益,PGPP 推广充满波折

长期以来隐私保护一直是公众热议的话题,随着互联网技术的快速发展,隐私泄露问题时有发生。

目前已经有不少国家和地区针对面部识别进行立法,以保护公众的面部数据隐私。关于用户上网过程中的身份信息、位置信息等泄露问题正引起更多的重视。

美国部分运营商曾被爆出出售用户信息获利,如果 PGPP 能够得到推广,这条利益链条便会被斩断,显然这些运营商们不会主动放弃既得利益。因此,PGPP 要得到推广必定会充满波折。

广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。

文章价值:
人打分
有价值还可以无价值
置顶评论
    热门评论
      文章发布时间太久,仅显示热门评论
      全部评论
      请登录后查看评论
        取消发送
        软媒旗下人气应用

        如点击保存海报无效,请长按图片进行保存分享