细思极恐!麦克风窃取用户隐私背后技术是这个?

网易科技 2018-04-20

  据国外《连线》媒体报道,哪怕是已经确立的行业标准,如,蓝牙和WPA2 Wi-Fi安全协议,近几个月都曾被曝光存在漏洞和不完备之处,这已引发负面影响、甚至可能造成破坏性后果。由于缺乏统一的架构和执行标准,一些无线通信技术,如,超声波通信技术,存在着不容忽视的隐患。

  设备跟踪这一用途让超声波技术坏了名声。在设备跟踪过程中,该技术让一些应用得以访问用户的智能手机,并收听广告、网站、甚至实体店中出现的无声“信标”。近日在旧金山举办的RSA安全会议中,研究者分享了超声波通信技术的现状以及隐患。

  加州大学圣芭芭拉分校的移动和网络安全研究者乔瓦尼⋅维格纳(Giovanni Vigna)和伦敦大学学院博士研究员瓦西利奥斯⋅马维鲁迪斯(Vasilios Mavroudis)表示,由于一些隐私监督机构提出的强烈抗议以及数年前美国联邦贸易委员会发起的一次有力调查,超声波用于跨设备跟踪的现象并未广泛出现,但当然也尚未彻底杜绝。这类技术已越来越多地用于各种位置服务:在设备足够接近时,超声波技术让应用得以监听特定发射波段的信标并向用户推送通知,提示与当前位置相关的服务或内容。这类方法的目标是徒步旅行者和博物馆参观者,旨在为他们提供信息,以促进体育场馆等场所的售票业务。

  维格纳和马维鲁迪斯认为,这些推送通知的做法并不像下类做法那样赤裸裸地侵犯隐私:悄悄跟踪设备一段时间、收集设备主人的信息以创建不同用户的概况。相反,当选择下载使用超声波技术的位置型应用时,用户能够更直接地了解该应用的功能。但研究者指出,目前超声波技术存在的问题不在于它们用于无线通信的现况,而在于这些技术还不够成熟。每家公司都拥有自己的编码版本,并开发了超声波通信的不同执行方案。我们无法确保这些不同版本的技术都能够保障用户的隐私和安全。

  维格纳指出,“这项技术的真正价值在于,无需任何特定的网络设置。它实际上依赖于一种物理现象,并且能够从物理层面创建连接。对于物联网来说,这或许很重要,因为有时候会面临无法穿越墙壁等障碍物的问题。然而,超声波通信完全不需要核验,这会导致混乱。此外临时发起的特性也让这类技术的执行存在一定漏洞。不统一标准的话,风险恐怕只会越来越严重。”

  在过去的超声波通信研究中,马维鲁迪斯得出的结论是,最迫切需要解决的潜在风险在于,目前该行业并未对能够接收超声波信号的应用施加限制。举例而言,如果一个应用能够自由访问设备的麦克风数据,那么这一应用只能访问超声波信息吗?它不会得寸进尺地监听用户所做的一切?对此,用户只能选择相信,别无他选。类似地,在设备处于飞行模式时,一些采用超声波技术的应用将继续从用户的麦克风收集并存储数据,并在设备恢复联网时,把数据发回网络服务器。其他服务和应用并不会这么做。由于超声波技术的标准不统一,用户很难跟踪到超声波服务是如何运行的。

  但超声波技术的用途不仅限于此。操作系统可利用超声波通信技术运行一种以统一方式约束外来访问的应用编程接口(API)。而且,按理想化的设想,这种机制最终将超越个人生态系统成为适用于整个行业的标准,类似Wi-Fi和蓝牙技术的演化历程。

  研究者指出,谷歌尤其值得一提,因为它在这方面一直领先。谷歌针对Android和iOS开发了名为Google Nearby的API。该平台具有安全和灵活的特点,并为信标格式和合作伙伴整合了操作标准。Google Nearby也把超声波技术融入到现有的无线标准中。除了Android上的应用(如,美国联合航空公司和药品零售商CVS的娱乐和照片服务),Google Nearby也被纳入电视棒Chromecast等智能家居设备中。

  马维鲁迪斯指出,“很难控制人们将如何使用这类技术,但Google Nearby确实迈出了正确的一步。不过,仍有许多公司正在开发自己的框架,我不希望看到谷歌在这方面占据垄断地位。如果每个人都能基于一个行业标准来构建自己的解决方案,这类技术将发展得更好。”

  令研究者感到宽慰的是,目前,超声波跨设备追踪这一用途中似乎并未广泛出现。但总体而言,各个公司正为超声波技术摸索越来越多与位置相关的用途,并加以实施。如果该行业不展开广泛合作以确立稳固的标准,超声波服务很快将成为一个巨大的安全和隐私问题。

责任编辑:王超

科普中国APP 科普中国微信 科普中国微博
网易科技
是中国科协为深入推进科普信息化建设而塑造的全新品牌,旨在以科普内容建设为重点,充分依托现有的传播渠道和平台,使科普信息化建设与传统科普深度融合,以公众关注度作为项目精准评估的标准,提升国家科普公共服务水平。

猜你喜欢