小小“APP”造成大大“隐私泄露”丨大东话安全
一、小白剧场
大东:小白啊,你都坐在那一天啦,快起来,跑跑步!
小白:大东东,看来你也喜欢跑步呀。
大东:哦?此话怎讲,志趣相投?
小白:那当然啦,不信给你看我跑步APP的记录,每天五公里,为祖国健康工作五十年!
大东:这是什么APP,这么神奇?
小白:这款APP还可以动画展示跑步路线,你值得拥有。
大东:别别别,可别展示啦,隐私就这么展示没了。最新网络大事件——隐藏颇深的秘密军事基地被常用手机软件曝光,想不想听?
二、话说事件
小白:想,想!秘密军事基地,一听就很神秘呢!那是怎么发现的呢?
大东:荷兰网络安全网站Bellingcat有一位名叫福克·波斯特马的粉丝,他是一个非常热心且有探索精神的开源情报爱好者。
小白:他会不会也和我一样,出门前就打开应用程序,并且在回到家之前是不会关闭的?
大东:确实是,无意中,他还利用荷兰本土的健身APP发现了荷兰Volkel基地。
小白:这个荷兰Volkel基地是做什么的呀?
大东:它是一个秘密的存储有核武器的基地。
小白:核武器基地不都是保密的吗?这都可以发现?
大东:波斯特马在使用芬兰公司Polar制作的健身应用程序时发现:Polar的地图向他展示了他家附近的很多跑步者。同时,波斯特马意识到,如果他公开自己的个人资料,任何人都可以看到他住在哪里。
小白:直接锁定家庭地址?
大东:哈哈,是这样的。不过,最重要的是,当他滚动浏览Polar的地图时,居然找到了荷兰存储核武器的军事基地Volkel。
小白:这件事如果被大众所知,后果不堪设想呀。
大东:确实,波斯特马将这件事告诉了媒体记者。随后,记者通过分析,找到了荷兰士官、美国网络战司令部军官、比利时军官等美国国家安全局NSA成员。根据后续的追踪,还找到了包括私人住址在内的众多信息。
小白:这种私人信息可以说是一种危及生命的信息,如果有人专门收集这些信息并将他们卖给出高价收购的人,谁又知道购买信息的人会拿这些信息做什么呢?
三、大话始末
大东:是呀,特勤局希望情报人员无法被追踪,以便保护他们的安全。但Polar的应用程序让它成为一块蛋糕,一览无余,随便瓜分。
小白:而且,这蛋糕价值不菲呀!
大东:还有一些极其敏感的在Google地图的卫星图像上已经模糊不清的位置,在健身软件上却是清晰可见的。
谷歌街景显示的一个不向公众开放的区域(图片来自网络)
小白:还好,只是针对某些人进行了查询。
大东:不不不,大错特错,记者们已经开始尝试更大规模地查找数据啦!
小白:还可以大规模查找?
大东:他们使用生成的URL来查询Polar的数据库,随后产生了一个大约六万个训练数据的列表。列表中的每一项都可以显示用户的唯一编号,即使用户的个人资料已被设置为私人,照样不耽误识别。
小白:看来,私人资料这一选项“形同虚设”呀!
大东:如果一旦拥有完整的活动列表,那么就可以准确地确定用户已经去过的所有地方。
小白:记者们的实验成功了嘛?
大东:记者们使用 URL 查询技巧查看了俄罗斯目标人的所有活动,并快速地跟踪到了莫斯科南部的一栋公寓楼。在这条小路的尽头有一个很大的建筑物,大约有几十层,并且可以放大使其变得更近。然后使用 Google 地球专业版,测量建筑物,对比 Polar 提供的信息,最终确定是 23 层楼。
GPS 坐标转换为物理地址(图片来自网络)
小白:定位楼层真的好精确呀!
大东:是很精确哈~ 除了这些还可以搜索用户经常去的地方,并使用 Google 地图自动查找相应的地址,最后将GPS坐标转换为物理地址,就确定了用户所在的位置。
小白:看来,隐私泄露已经成为App“第一大罪”!
大东:之前我们所说的这些事例,都是通过手工完成的。现在,一些记者开始尝试更大规模地查找数据,Polar让这一切变得很容易。
小白:还是通过URL地址吗?
大东:地图对数据库的请求,简而言之就是,可以访问数据库页面的 URL +地理区域的 GPS 坐标+起始日期+截止日期。
小白:这样是不是就可以绕过地图的过滤器去查询呀?
大东:没错,这样不仅可以绕过几个地图的过滤器,还可以要求一次查看400个结果,甚至还可以查看自 2014年以来的所有活动 , 比地图允许的六个月最大值的时间范围大得多了。
三、APP所属公司有何举动?
小白:遇到这样的问题,不知道APP所属公司会不会提出一些措施去改善呢?
大东:记者们的最后一步就审视了几个类似的应用程序。第一个应用程序是 Strava。
小白:结果怎么样呢?
大东:去年该公司向其用户和军事组织承诺,它将采取措施更好地保护这类敏感信息。
小白:太好啦~
大东:不过呀,记者们很快发现,该公司的承诺并没有实现。确实具有敏感数据的热图不再公开,必须登录才能看到它。但是,创建帐户并获取对该数据的访问权只需要一分钟。
小白:唉,看来也没啥具体改善!
大东:简而言之呀,Strava 完全没有解决它的隐私问题。
小白:这也太难啦~
大东:记者们还对另外一个应用程序进行了测试,这个应用程序是来自 Under Armour 运动服装品牌的 Endomondo。不过呀,使用这个应用程序,记者们很容易就找到了米德堡联席会议顾问。
四、小白内心说
小白:其实,我们的生活中肯定是离不开各种APP的。
大东:但是,这些APP对我们的隐私可以说是索要无度。
小白:这个我知道一些,比如:一个读书网站都要求控制我们的摄像头,一个养花应用都要查看我们的联系人。
大东:对呀,这些要求往往是没有必要的,而我们对于这些索求又往往是有求必应,殊不知这对我们自己和家人甚至是工作的单位造成了潜在的安全威胁。虽然荷兰的“福尔摩斯”们在网上的这次追踪,似乎离我们很远,探索的对象又是军事基地,情报机构和特勤人员这些电影中才有的东西,但是这些现象的出现又值得我们深思呐。
信息泄露存在巨大隐患(图片来自网络)
小白:网络上的一项调查显示,遇到过个人信息泄露情况的人数占比为85.2%,超八成。
大东:这个比例还是相当高的。不过,更可气的是,个人信息泄露后会遇到一系列问题,比如推销电话或短信骚扰、接到诈骗电话、收到垃圾邮件等。
小白:我就接到过这种电话,一个一个又一个,真是太烦啦。
大东:哈哈,确实是很苦恼啊。
小白:只要我们使用手机就离不开APP的使用,所以隐私暴露注定无可救药吗?
大东:其实还是可以在一些地方注意的。比如说,选用安全合规的App产品和服务,并选择正规有效的渠道进行下载安装;认真阅读App的应用权限和用户协议或隐私政策说明,了解操作注意事项;培养良好使用习惯,不随意开放和同意非必要的读取权限,不随意输入个人隐私信息,定期维护和清理相关数据。
小白:东哥,为了我和家人的隐私安全,我还是先去卸载APP啦!
参考资料:
1. app信息泄露竟如此严重,保护隐私我们需要做到这些。https://www.sohu.com/a/255171533_100258333
2. 如何防止APP窃取个人隐私
https://jingyan.baidu.com/article/0a52e3f4e473a2bf62ed7295.html
3. 想不到,隐藏颇深的秘密军事基地被常用手机软件曝光
https://mp.weixin.qq.com/s/knbuMT6yca_H9Wv51YCmyg
来源:中国科学院计算技术研究所