阅读全文...

腾讯数码讯(红果)据Android Authority网站报道,对于大多数人来说,隐私是神圣不可侵犯的。虽然在Facebook和Twitter等社交网站上向世界敞开心扉,但在生活中,我们总是有些不想为外人所知的“秘密”。无论你保守的秘密,还是曾经到访过的有特别纪念意义的地点,都不是供全世界的人来“消费”的。

手机可以成为许多重要事情的原动力,但大多数人都尝试在把手机用作工具和让下载的应用侵犯隐私之间维持平衡。谷歌让Android应用在访问手机的敏感元素——例如存储设备、联系人和GPS——时征得用户同意。用户是手机的所有者,有权对这样的请求说不。

GPS已经成为我们文化中根深蒂固的一部分,许多人甚至都不再会刻意想到它。如果想尝尝一家新餐馆的饭菜,但不知道其位置,就可以在谷歌地图中进行搜索。想使跑步的路线显示在地图上?有大量应用能利用GPS完成这一任务。如果不想被跟踪应该怎么办?关闭GPS啊。

但是,如果我告诉你即使关闭GPS,也可能会被跟踪,你信吗?假使有一种方法,可以使应用能精确地确定你的位置、移动的速度、乘坐什么样的交通工具——这些不但不需要GPS,而且是在你不知情的情况下完成的,很可怕,对吧?

这种新的攻击方法是由普林斯顿大学研究人员开发的。研究团队开发了一款包含有2000行代码的应用,可以从访问时不需要特别批准的传感器收集数据,这些传感器包括加速计、磁力计和气压计。它还能知道用户设备的IP地址、时区和网络状态(连接到移动网络还是WiFi)。

利用这种方法精准地追踪一个人地理位置的诀窍是,知道他(她)在从事的活动。只要知道要跟踪的人是谁,无论对方是在步行、驾车,或者乘坐火车或飞机,要确定其位置是相当容易的

传感器可以确定一个人移动的速度和在从事的活动类别。在一个方向上慢速移动,表明用户是在散步;移动速度更快一些,但会转90度的弯儿,意味着在驾车。人们在乘坐火车或飞机时,移动速度要快得多。根据速度和气压,这些信息都可以很方便地获悉。

确定用户在从事的活动后,应用会利用它从传感器收集的数据。加速计会泄露用户的速度,磁力计会泄露用户与“真北”的相对位置,气压计提供用户周围的气压,应用可以比较从The Weather Channel获取的气压数据与气压计的读数,判断用户所处位置的海拔。谷歌地图和美国地理调查地图(US Geological Survey Maps)提供了难以置信地详细的海拔数据。

一旦应用收集到所有这些信息,并确定用户当前的交通模式,它就可以开始缩小用户所处位置的范围。对于飞机来说,会有4种算法开始估计用户的位置,并缩小范围,直至其误差率达到零。

Android Authority表示,如果用户在驾车,应用能更容易地确定用户的位置。根据手机提供的信息,应用能确定用户所在的时区,然后读取气压计和磁力计的读数,把这些数据与来自公开地图和天气信息的数据进行比较。之后,应用会跟踪用户的转弯,每转一次弯,用户位置会更精确一些,直至确定用户的确切位置。

为了演示应用在确定用户位置方面的精确性,研究人员在费城进行了一次试验。转了12个弯后,应用就确定了汽车的精确位置。

我们应当回答两个问题:作为个人用户应当怎么办?我们应当怎样防止被通过这种方法跟踪?作为个人,用户需要注意自己下载的应用。Android Authority在前文已经指出,通过这种方法追踪手机用户只需要一款约2000行代码的应用。2000行代码的应用真的不算什么,简单的应用或游戏,动辄可能包含有数十万或数百万行代码,在其中“潜伏”2000行代码很容易,很难被发现。

这并不是说用户不应当下载应用,不要误会,Android Authority也是很喜欢应用的。但是,在下载前请仔细了解所下载应用的性质和开发者。对于可疑的应用,要对应用本身及其开发者做一番功课。

研究人员提出了一些建议,以防止这种方法在未来兴风作浪。首先,希望使用这些传感器的应用必须请求访问权限。用户已经习惯于让应用为所欲为地使用传感器,甚至对此失去了应有的警觉。让应用请求权限,使用户能更了解应用在后台会执行哪些操作?

Android Authority称,研究人员还建议,在处于非活跃状态时,降低传感器的采样率。如果采样率被降低到低于使用这种跟踪方法需要的水平,恶意应用就无法在没有操作系统配合的情况下收集到它们所需要的信息。Android Authority最终的建议是,给手机增添硬件开关,关闭没有处于使用状态的传感器。由于所有Android手机厂商都痴迷于美学设计,Android Authority怀疑有公司会把这一建议当回事。

想到目前我们在阻止这类跟踪方面无能为力是可怕的。如果应用开发者出于某种原因想跟踪用户,即使那些对下载应用非常小心的用户,也可能中招。目前,最好的方法似乎是推动谷歌、苹果等阻止这种攻击方法,或通过立法宣布跟踪用户非法。